A Google decidiu ajustar os valores das recompensas para quem encontrar falhas de segurança no Android e no Chrome. Recentemente, a empresa anunciou que o prémio máximo pode agora transformar um investigador de segurança num milionário, ao oferecer até 1,5 milhões de dólares (cerca de 1,38 milhões de euros). O objectivo principal passa por incentivar os hackers éticos a ajudar a tecnológica a fortalecer as suas defesas, numa altura em que a inteligência artificial apresenta novas ameaças.
Estes novos valores surgem cerca de seis meses depois de a empresa ter alertado para um aumento de software malicioso que usa inteligência artificial. Os piratas informáticos começaram a utilizar grandes modelos de linguagem para desenvolver código malicioso capaz de sofrer mutações em tempo real. Agora, a Google indica que pretende continuar a recompensar os investigadores pela sua capacidade de descobrir vulnerabilidades complexas e difíceis de detectar nos seus produtos.
O impacto da inteligência artificial na segurança
De acordo com a gigante das pesquisas, a inteligência artificial e a automação aceleraram a descoberta de vulnerabilidades nos últimos anos. As equipas de segurança estão a actuar a um ritmo sem precedentes para mitigar riscos. Os avanços mais recentes tornaram significativamente mais fácil analisar um caso de teste, explicar a causa raiz, propor uma correcção adequada e encontrar variantes de problemas conhecidos.
Como o panorama da segurança muda rapidamente, a Google quer garantir que os seus programas de recompensas reflectem a era moderna. Para as falhas no Android, o pagamento máximo de 1,5 milhões de dólares aplica-se à descoberta de um comprometimento completo e sem interacção do utilizador (zero-click) no co-processador Pixel Titan M2, com persistência. Se a falha não tiver persistência, a recompensa desce para 750 mil dólares. O chip Titan M2 integra vários telemóveis da linha Pixel.
Estes valores representam aumentos substanciais. Anteriormente, o prémio máximo era de um milhão de dólares, enquanto uma falha sem persistência rendia 500 mil dólares. A empresa também passou a pagar até 375 mil dólares por falhas de extracção de dados em elementos seguros, um valor que antes se ficava pelos 250 mil dólares.
Esta aposta contínua na protecção dos utilizadores não é um caso isolado. A tecnológica tem vindo a implementar várias barreiras de defesa nos seus sistemas operativos móveis, como ficou demonstrado quando decidiu impor um período de espera para instalar aplicações não verificadas ou quando reforçou a privacidade ao bloquear milhares de milhões de anúncios abusivos.
Ajustes nas recompensas do Chrome
A Google também ajustou as recompensas máximas para quem descobrir falhas no Chrome, embora estas tenham sofrido uma alteração na direcção oposta. Ainda assim, continuam a ser bastante lucrativas. A empresa paga até 250 mil dólares por explorações completas de processos do browser nos sistemas operativos e hardware mais recentes. Existe ainda um bónus que pode ultrapassar os 250 mil dólares para quem conseguir explorar com sucesso uma alocação de memória protegida pela funcionalidade MiraclePtr.
A Google refere que está a rever o âmbito do seu programa para dar ênfase às categorias que representam o maior risco para os utilizadores. A tecnológica está também a dar prioridade a categorias que continuam a ser mais difíceis de encontrar por ferramentas automatizadas de inteligência artificial, para garantir que recompensa os investigadores pelas suas competências únicas.
