Google pagó 8,7 millones de dólares en recompensas de seguridad durante 2021

Redacción Silicon,

Por vulnerabilidades relacionadas con Android repartió casi 3 millones y por las del navegador Chrome y Chrome OS, más de 3.

Las grandes compañías tecnológicas cuentan con programas de recompensa por vulnerabilidades para atraer el talento de la comunidad investigadora y mejorar la fiabilidad de sus productos y servicios.

Google, por ejemplo, cuenta con programas de recompensas vinculados a productos como Android, Chrome o Google Play, por ejemplo.

La compañía de la G puso en marcha hace unos meses el portal de investigación Google Bug Hunters para concentrar esfuerzos y facilitar la notificación de errores de seguridad. Esta llamada a cazadores de errores está dando sus frutos.

El 2021 fue otro año de récord para las iniciativas de seguridad de Google, que terminó otorgando 8,7 millones de dólares en recompensas.

En el caso del programa Android VRP, los pagos se han duplicado en un solo año, concentrando por sí solo casi 3 millones de dólares.

En 2021 se efectúo el pago más alto en la historia de este programa sobre el sistema operativo móvil de Google. Un investigador descubrió una cadena de explotación crítica en Android y fue recompensado con 157 000 dólares.

Mientras tanto, sigue desierto el premio de 1,5 millones que Google ha reservado para el hallazgo de algún agujero en su chip de seguridad Titan-M, presente en dispositivos Pixel.

Hasta 296 000 dólares pagados por Google tienen que ver con unos 220 informes tramitados a través del nuevo programa ACSRP en colaboración con fabricantes de chipsets para Android.

El programa Chrome VRP llegó a los 3,3 millones de dólares en pagos por 333 informes de 115 investigadores distintos.

La mayoría (3,1 millones) corresponden a errores en el navegador Chrome, mientras que 250 500 dólares están vinculados a fallos en el sistema operativo Chrome OS.

Además, 58 000 dólares fueron a parar a personas que detectaron problemas a través del programa Chrome Fuzzing.

Al respecto, la compañía de la G destaca que “las contribuciones no sólo nos ayudan a mejorar Chrome, sino también a la web en general al reforzar la seguridad de todos los navegadores basados ​​en Chromium”.

Google Play pagó más de medio millón (550 000 dólares) a un grupo de más de 60 investigadores de seguridad.

El monto de las recompensas por exploits contra el clúster kCTF superaron en tres meses los 175 000 dólares.

Y, en marzo de 2021, Google extendió 313 337 dólares en premios en el marco del Google Cloud Platform VRP Prize .

A todo esto hay que sumar otros 200 000 dólares en subvenciones a más de 120 investigadores experimentados del Vulnerability Research Grant.98