El programa Android Security Rewards (ASR) fue creado por Google en 2015 con el fin de recompensar a aquellos investigadores que informaran a la compañía acerca de las vulnerabilidades de seguridad que encontraran en el sistema operativo móvil Android. A cambio de esta información, Google les premia con una cantidad de dinero proporcional al grado de vulnerabilidad encontrado.

En junio de 2017, el programa recibió un impulso en algunas de sus recompensas porque, según Google, «cada lanzamiento de Android incluye más protecciones de seguridad y ningún investigador ha reclamado la mejor recompensa por una cadena de exploits en 2 años». Pero el viernes pasado, la compañía finalmente anunció la primera gran recompensa desde esos cambios para una cadena de exploits remota de Android que funcionaba.

Google recompensa a un investigador chino con $112,500

Aquel en recibir ni más ni menos que $112,500 fue Guang Gong, un investigador chino que trabaja en Qihoo 360 Technology, una empresa de seguridad china.  El mérito de Gong fue descubrir dos errores en agosto de 2017: CVE-2017-5116, que permite la ejecución remota de código arbitrario a través de HTML elaborado dentro de la zona de pruebas de Chrome, y CVE-2017-14904, que permite escapar de la zona de pruebas de Chrome.

Primero en Android TV

Esto significa que solo con acceder a una URL maliciosa ya sería suficiente para realizarnos un ataque además de permitir la inyección remota de código arbitrario en el proceso system_server de Pixel.

Tal y como informa Google, Gong recibió $105,000 por parte de ASR, siendo la cantidad dada más alta en este programa, y recibiendo una cantidad adicional de $7,500 del programa Chrome Rewards, creado en 2010 con el objetivo de recompensar a aquellos que informen acerca de vulnerabilidades en Chrome y Chrome OS.

Google tras conocer el fallo apenas tardó en solucionarlo. Si deseáis conocer más acerca de los detalles técnicos el propio Gong ha publicado un blog en el que explica todo. ¿Qué te parece? ¿Crees que es una recompensa proporcional?