Como a maioria das empresas que mantém o software seguro para os usuários, o Google associa IDs CVE a bugs – identificadores exclusivos divulgados publicamente para problemas, para que os pesquisadores possam coordenar seus esforços para criar correções. especialista em Android Mishaal Rahman destacou recentemente uma nova postagem no blog de segurança do Google explicando que o Android não atribuirá mais CVEs aos problemas de gravidade mais moderada, enquanto vulnerabilidades críticas e de alta gravidade ainda receberão IDs de CVE. Isso significa que nossa cobertura de atualizações de segurança para telefones Pixel terá menos CVEs e problemas dignos de menção, a menos que o Google atribua IDs para problemas moderados de vez em quando.
Como o Google decide o que é gravidade moderada, você pergunta? A atribuição de gravidade aos problemas enviados ainda fica a critério do Google, mas é regida por um conjunto bem definido de regras que avaliam o escopo da vulnerabilidade.
Para não ser confundido com a escala de três pontos para a gravidade do bug, o Google tem uma nova escala de três pontos chamada “sistema de classificação de qualidade” integrada ao VRP. Ele incentiva os pesquisadores de segurança a enviar relatórios de bugs bem pesquisados, para que possam ser recriados e resolvidos com eficiência. O Google estabeleceu uma lista de expectativas para os elementos que um relatório de bug deve conter, incluindo uma descrição detalhada, uma análise completa da causa raiz, uma demonstração do problema, instruções para recriá-lo e evidências de privilégios perigosos que pessoas mal-intencionadas podem obter.
O titã da pesquisa também mudou o pagamento máximo para a descoberta de vulnerabilidades críticas de dispositivos Android e Google. Os pesquisadores podem reivindicar até US$ 15.000 se encontrarem um e fizerem uma apresentação detalhada. Enquanto isso, cadeias de exploração completas, como aquelas usadas por agentes mal-intencionados na natureza, são elegíveis para recompensas de até US$ 1.000.000. Os envios de relatórios de gravidade moderada serão recompensados com até $ 250, e não há recompensa para os relatórios de baixa gravidade.
O Google diz que colocou essas mudanças no VRP do Android em vigor a partir de 15 de março de 2023. As taxas revisadas de recompensas por bugs estão melhores agora, mas é essencial que a balança permaneça assim, porque essas vulnerabilidades também alcançam preços altos em mercados frequentados por hackers e cibercriminosos.
Os requisitos do Google para um bom relatório de bug não são pedir muito, mas com informações inadequadas e nenhuma recompensa por problemas menores, pode-se argumentar que muitos dos problemas menores permanecerão sem correção. A falta de CVEs para problemas de baixa prioridade também significa que o Google seria a única empresa ciente desses problemas e em posição de corrigi-los. Menos CVEs são mais fáceis de acompanhar, mas tememos que problemas menores sem identificadores possam passar despercebidos.
[ad_2]
