O chip Titan M é usado atualmente nos Pixel 3 e Pixel 4 e é um chip separado, dedicado exclusivamente ao processamento de dados sensíveis no Android, como é o caso do bloqueio de ecrã, transações seguras ou encriptação. A Google tem a certeza de ter uma solução robusta, pelo que aumentou a recompensa no caso de serem reveladas fragilidades.
Quem encontrar uma vulnerabilidade persistente de execução de código remota completa poderá ganhar até um milhão de dólares, ao abrigo do programa de caça de bugs que a Google criou. Por outro lado, se a vulnerabilidade puder ser explorada numa versão preview do Android OS, o montante sobe para os 1,5 milhões de dólares. A decisão de pagar mais por falhas nas versões em previsualização prende-se com a possibilidade de corrigr um bug antes de sistema operativo ser colocado em dispositivos destinados ao mercado, lembra a ZDNet.
A Google anunciou ainda que irá aumentar as recompensas, de uma forma global, em todo o programa VRP (de Android Vulnerability Rewards Program). Até aqui, o máximo pago por bug era de 200 mil dólares e, desde a estreia do programa, em 2015, ninguém conseguiu ganhar este valor.
A execução remota, ainda mais de forma persistente, é difícil de conseguir, daí os valores a pagar por bugs destes serem elevados. A Google responde que foram detetadas duas RCE completas e que vieram as duas do mesmo investigador. A maior parte das falhas que podem ser exploradas são locais e não remotas.
A Google está a adicionar também um novo tipo de bug pelo qual quer pagar recompensas: até 500 mil dólares por formas de extrair dados e contornar proteções de ecrã bloqueado, dependendo da complexidade da falha.
A empresa revelou que mais de cem investigadores já concorreram ao programa, com um pagamento de recompensa médio de 3800 dólares este ano, mais 46% do que no ano passado.