Google ha comunicado que va a incluir un nuevo sistema de calificación de informes de vulnerabilidades con el fin de alentar a los investigadores de seguridad a que le ofrezcan más detalles sobre los errores informados.
La compañía de Mountain View ha aclarado que está actualizando su programa de recompensas de dispositivos de Android y Google (conocido con las siglas VRP).
Así, bajo el nuevo sistema de clasificación, los informes que se reciban serán designados como de calidad "alta", "media" o "baja", otorgándoseles las recompensas correspondientes.
“Las vulnerabilidades más críticas y de mayor calidad ahora son elegibles para recompensas más grandes de hasta 15.000 dólares", señala la empresa de la gran G.
Como principal condición para recibir el dinero a cambio de su información de errores, los investigadores deberán describir la falla identificada de forma clara y precisa, según informe Security Week.
También deberán incluir en sus informes el nombre y la versión del dispositivo en cuestión, un análisis completo de la causa raíz de la vulnerabiilidad, una prueba de concepto (PoC) de alta calidad que demuestre el problema y una explicación paso a paso de cómo reproducirlo.
No conforme con eso, Google quiere que los hackers proporcionen evidencias o un análisis para demostrar el nivel de análisis o de ejecución que se puede lograr al explotar la vulnerabilidad.
Por otro lado, la empresa filial de Alphabet ha confirmado que ya no asigna CVE para la mayoría de vulnerabilidades de Android a las que se asignan calificaciones de gravedad "moderada".
Estos son los gadgets 'hackeables' por los investigadores
El programa de recompensas de Android y dispositivos de Google actualmente cubre teléfonos Pixel 4a a Pixel 7 Pro, dispositivos Google Nest (cámaras, timbres, altavoces, pantallas, termostatos, Wi-Fi, alarmas y cerraduras de puertas) y wearables Fitbit (Versa 3, Sense, Luxe, Inspire 2 y Charge 5).