En 2023, Google pagó 10 millones de dólares a 632 investigadores de 68 países por encontrar y notificar de forma responsable vulnerabilidades de seguridad en los productos y servicios de la empresa.
Aunque esta cifra es inferior a los 12 millones de dólares pagados a los investigadores en 2022 como parte del Programa de Recompensas por Vulnerabilidades de Google, sigue siendo significativa y demuestra un alto nivel de participación de la comunidad en los esfuerzos de seguridad de Google.
La recompensa más alta por un informe de vulnerabilidad en 2023 fue de 113.337 dólares, mientras que el importe total desde que se puso en marcha el programa en 2010 ha alcanzado los 59 millones de dólares.
En el caso de Android, el sistema operativo móvil más popular y utilizado del mundo, el programa ha concedido más de 3,4 millones de dólares.
Google también ha aumentado la recompensa máxima por vulnerabilidades críticas de Android a 15.000 dólares, lo que ha provocado un aumento de los informes de la comunidad.
En conferencias de seguridad como ESCAL8 y hardwea.io, Google concedió 70.000 dólares por 20 descubrimientos críticos en Wear OS y Android Automotive OS, y 116.000 dólares por 50 informes de problemas en Nest, Fitbit y Wearables.
El otro gran proyecto de software de Google, el navegador Chrome, fue objeto de 359 informes sobre fallos de seguridad que le valieron un total de 2,1 millones de dólares.
El 1 de junio de 2023, la empresa anunció que triplicaría los pagos de recompensas por exploits de la cadena de escape sandbox dirigidos a Chrome hasta el 1 de diciembre de 2023.
El programa también aumentó las recompensas por fallos en versiones antiguas (anteriores a M105) de V8, el motor JavaScript de Chrome, lo que dio lugar a importantes descubrimientos y recompensas, como una recompensa de 30.000 dólares por un fallo de optimización JIT de V8 (desde M91).
Otro punto destacado en la entrada del blog de Google es la introducción de ‘MiraclePtr’ en Chrome M116, que protege contra las vulnerabilidades no renderizables Use-After-Free (UAF).
Como estas vulnerabilidades se consideraron «fuertemente mitigadas» tras la introducción de MiraclePtr, Google ha introducido una categoría separada de recompensas por eludir el propio mecanismo de protección.
Por último, el estudio también analiza los esfuerzos en productos de seguridad de IA generativa como Google Bard, con 35 informes de investigadores en un evento de hacking en directo de bugSWAT que generaron 87.000 dólares en recompensas.
Además de las recompensas en sí, el programa de recompensas por fallos experimentó los siguientes avances y mejoras durante 2023:
- La introducción del programa Bonus Awards, que ofrece recompensas adicionales por objetivos específicos.
- La ampliación del programa de recompensas de exploits a Chrome y la nube, incluido el lanzamiento de v8CTF, centrado en el motor JavaScript V8 de Chrome.
- La inauguración de Mobile VRP para aplicaciones Android de origen.
- El lanzamiento del blog Bughunters para compartir ideas y medidas de seguridad en Internet.
- La organización de la conferencia de seguridad ESCAL8 en Tokio, con actos de hacking en directo, talleres y conferencias.
Las personas interesadas en participar en el programa de recompensas por fallos de Google pueden obtener más información a través de la comunidad de cazadores de fallos.