ilustración manos sosteniendo smartphone Android con escudo seguridad y monedas doradas simbolizando recompensas por bugs

Google paga millones por fallos de seguridad en Android 15 años

por

Google pagó $12 millones por fallos críticos en Android durante su programa de recompensas de 15 años

El informe anual del Vulnerability Rewards Program (VRP) de Google revela cifras concretas: más de 700 investigadores de seguridad recibieron pagos por identificar vulnerabilidades en Android, Chrome y otros productos. El monto total superó los $12 millones en un solo año, con recompensas individuales que llegaron hasta los $113,000 por fallos de ejecución remota de código (RCE) en componentes clave del sistema.

Los números que importan

Categoría Cantidad de reportes Recompensa promedio
Vulnerabilidades en Android (AOSP) 212 $7,500
Fallos en Chrome 341 $5,200
Explotaciones en Pixel 89 $15,300
Bug de máxima severidad (RCE) 12 $61,000

El programa no solo premió fallos técnicos. Google destacó pagos adicionales por análisis de calidad excepcional, donde investigadores como Masato Kinugawa recibieron bonificaciones por documentar vulnerabilidades con pruebas de concepto (PoC) funcionales y pasos de reproducción detallados. Esto reduce el tiempo de parcheo: el equipo de Android Security confirmó que el 87% de los fallos críticos se solucionaron en menos de 30 días desde el reporte.

¿Dónde están los puntos débiles?

Tres áreas concentraron el 60% de los reportes válidos:

  1. Mediaserver y componentes multimedia: Vulnerabilidades en el procesamiento de archivos MP4 y MKV permitían corrupción de memoria. Un caso específico en el codec libavc permitió ejecución arbitraria de código al reproducir un video modificado. Google pagó hasta $45,000 por estos reportes.
  2. Kernel de Linux (versiones 4.14 y 5.4): Fallos en los controladores de GPU (especialmente en dispositivos con chipsets Qualcomm) representaron el 22% de los pagos altos. Un bug en el manejo de ion_alloc permitió escalada de privilegios desde una app sin permisos.
  3. Sandbox de Chrome para Android: Aunque el navegador tiene su propio programa de recompensas, Google premió fallos que afectaban la integración con el sistema operativo, como bypasses de la política SELinux que permitían leer datos de otras apps.

Los dispositivos Pixel fueron objetivo prioritario. El 17% de los reportes en esta categoría explotaban fallos en el Titan M2, el chip de seguridad dedicado. Un investigador anónimo recibió $113,000 por una cadena de vulnerabilidades que combinaba un bug en el bootloader con un fallo en la verificación de firmas de actualizaciones OTA.

Cómo participar (y ganar)

Google ajustó las reglas del VRP para incentivar investigación en áreas específicas:

  • Bonus del 50% para fallos en código escrito en Rust (lenguaje que Google está adoptando para reducir vulnerabilidades de memoria).
  • Recompensas dobles por bugs en Android 15 Developer Preview, especialmente en componentes como el nuevo Partial Screen Sharing o el sistema de permisos para sensores de salud.
  • Pagos adicionales por explotaciones completas (no solo el bug, sino también el método para aprovecharlo), con bonificaciones si el ataque funciona en dispositivos con las últimas actualizaciones de seguridad.

El programa ahora acepta reportes en más de 100 proyectos de código abierto críticos para Android, incluyendo librerías como libwebp (donde se encontró el famoso bug CVE–4863). Los investigadores pueden ganar hasta $31,000 por vulnerabilidades en estos componentes.

El impacto real: menos exploits en la naturaleza

Google correlacionó los datos del VRP con su Informe de Transparencia de Android: el número de dispositivos afectados por exploits de día cero cayó un 40% respecto al año anterior. Esto se atribuye a:

  • Parches más rápidos: El tiempo promedio entre el reporte y la solución para fallos críticos pasó de 42 a 28 días.
  • Menor superficie de ataque: Componentes como mediaserver ahora se ejecutan en sandbox más restrictivos, limitando el daño incluso si hay un bug.
  • Detección proactiva: Herramientas como ClusterFuzz (usada internamente) encontraron el 30% de los fallos antes de que llegaran reportes externos.

El VRP también sirvió para mejorar la seguridad en apps de terceros. Google colaboró con desarrolladores de apps con más de 100 millones de descargas (como Signal o Telegram) para parchear 23 vulnerabilidades críticas que afectaban su integración con servicios del sistema (ej: el manejo de intents para compartir archivos).

¿Qué sigue?

Para el próximo ciclo, Google enfocará esfuerzos en:

  • Android en dispositivos plegables: Buscan fallos en la gestión de múltiples pantallas y transiciones de estado (ej: cuando el dispositivo pasa de doblado a desplegado).
  • Protecciones contra ataques de canal lateral: Especialmente en componentes que manejan datos biométricos (huellas, reconocimiento facial).
  • Seguridad en actualizaciones incrementales: Fallos en el sistema de parches «A/B» que podrían permitir downgrades a versiones vulnerables.

Los investigadores interesados pueden empezar con el guía oficial para reportar bugs. Google recomienda usar herramientas como AFDO (para análisis de código) y HPROF (para inspeccionar memoria) para encontrar vulnerabilidades complejas.