Durante la conferencia de seguridad CanSecWest, Google ofrecerá una vez más recompensas por explotar vulnerabilidades en Google Chrome.
“El objetivo de nuestro patrocinio es simple: tenemos una gran oportunidad de aprendizaje cuando recibimos explotación completa de vulnerabilidades. Esto complementa y extiende nuestro programa “Chromium Security Rewards” (Recompensas de Seguridad de Chromium) al reconocer que una manera de explotar completamente una vulnerabilidad es significativamente más trabajo que encontrar y reportar un error potencial de seguridad”. explicaron Chris Evans y Justin Schuh del equipo de seguridad de Google Chrome en el Blog de Chromium.
Las recompensas ofrecidas por Google son:
USD$60,000 – “Explotación completa de Chrome”: Solo deben utilizarse errores en Google Chrome.
$40,000 – “Explotación parcial de Chrome”: Al menos uno de los errores utilizados debe ser de Google Chrome. Por ejemplo, un error en WebKit combinado con un error de aislamiento de procesos de Windows.
$20,000 – “Recompensa de consuelo, Flash / Windows / otra”: Se utilizan errores externos a Google Chrome. Por ejemplo, errores en Flash, Windows o un controlador. Estos errores pudieran afectar no solo a Chrome sino a cualquier otro navegador.
Todos los ganadores recibirán tambien una Chromebook. Las recompensas serán por categoría, hasta el límite de $1 millón. La explotación de vulnerabilidades debe ser confiable, completamente funcional, presente en las últimas versiones, y desconocida por nosotros o que no haya sido compartida previamente con terceros.
Google llevará a cabo esta competencia en un evento llamado Pwnium. Anteriormente patrocinaban la competencia Pwn2Own que trata de lo mismo (hay varias computadoras, con diferentes sistemas operativos y diferentes navegadores, si hackeas una te la puedes llevar). En esta competencia Google Chrome ha salido intacto en años anteriores, pero este año decidieron no patrocinarlo por que en la competencia se les permite a los competidores no revelar lo que utilizaron para hackear la computadora, y a Google lo que le interesa es aprender sobre estas vulnerabilidades.