O Google anunciou nesta terça-feira (16) uma expansão da iniciativa que paga programadores que encontram vulnerabilidades em seus produtos. Com o novo "Android Security Rewards", colaboradores também poderão receber prêmios em dinheiro por contribuírem com qualquer etapa da correção de uma vulnerabilidade, incluindo testes.
As premiações podem chegar a US$ 8 mil. O programa vale para os produtos Nexus vendidos no Google Play. Na prática, significa que as recompensas valem para o Nexus 6 e Nexus 9.
O Android é um sistema operacional de código aberto. Isso significa que o código de várias partes do sistema está disponível para qualquer interessado. Um programador pode analisar esse código para descobrir falhas e relatá-las ao Google. A empresa já paga por colaborações desse tipo e também recompensa programadores que enviarem uma sugestão de alteração ao código para solucionar o problema. Essas alterações são chamadas de "patches".
Com a expansão da iniciativa, outras etapas envolvidas na correção de uma vulnerabilidade no Android também podem ser pagas pelo Google. Segundo o anúncio, o novo programa "oferece recompensas maiores para que pesquisadores invistam em testes e patches que tornem todo o ecossistema mais forte".
Com o "Android Security Rewards", a empresa passa a ter cinco iniciativas de recompensas: uma por pesquisa em vulnerabilidades já encontradas, uma para os "patches", uma para projetos de pesquisa remunerados mesmo que nenhuma brecha seja identificada, uma para questões específicas ao Chrome e agora a mais nova dedicada ao Android.
Google pagou US$ 1,5 milhão em 2014
Em 2014, o Google pagou mais de US$ 1,5 milhão (o equivalente a R$ 4,65 milhões) em recompensas. O maior valor pago por um único ataque foi US$ 150 mil (cerca de R$ 465 mil). Quem recebeu esse prêmio foi George Hotz, conhecido como "hacker do Playstation 3".
Hotz encadeou quatro vulnerabilidades para conseguir violar as proteções do ChromeOS durante a competição de segurança "Pwnium" em março de 2014. Além do prêmio, Hotz, que hoje tem 25 anos, recebeu um convite para uma vaga de estágio no Google e ficou na empresa de maio a setembro do ano passado, segundo a página dele no LinkedIn.
Fabricantes personalizam o sistema
Cada fabricante de smartphones pode alterar o Android ou incluir seus próprios softwares junto do sistema. O Nexus, lançado pelo próprio Google, é considerado o Android mais "puro" em um aparelho disponível no mercado, pois não acompanha nenhum software extra, apenas os aplicativos do próprio Google que também existem nos aparelhos de outras marcas.
Ao restringir o programa de recompensas para a linha Nexus, e mais especificamente para os modelos mais recentes da linha, o Google diz que projetou a iniciativa para "beneficiar o ecossistema inteiro do Android". A companhia disse, no entanto, que a novidade faz da Nexus a primeira linha de dispositivos móveis com um sistema de recompensas por vulnerabilidades.