L'anno scorso, il programma bug bounty di Google ha assegnato almeno 12 milioni di dollari ai ricercatori che hanno scoperto difetti di sicurezza nei suoi prodotti e servizi. Questa cifra è significativamente superiore agli 8,7 milioni di dollari pagati nel 2021 e si prevede che crescerà nei prossimi anni. L'azienda sta ora espandendo i propri sforzi di ricerca sulla sicurezza con un nuovo programma rivolto ad applicazioni di terze parti Android.
All'inizio di questo mese, Google ha aggiornato il Vulnerability Bounty Program in Android e dispositivi Google (VRP), introducendo un nuovo sistema per valutare la qualità delle segnalazioni di bug e aumentando la ricompensa massima per la scoperta di vulnerabilità critiche a 15 dollari. L'azienda spiegò all'epoca che ciò avrebbe reso più semplice correggere le falle di sicurezza nei telefoni pixel, dispositivi Google Nest e Fitbit, nonché nel sistema operativo Android in modo più tempestivo.
Questa settimana, l'azienda ha lanciato il Mobile Vulnerability Rewards Program (Mobile VRP), che si rivolge ai ricercatori interessati a indagare sulla sicurezza delle applicazioni per Android, sviluppato da Google o da altre società appartenenti al gruppo Alphabet.
La nuova app classifica le app di terze parti per Android su tre livelli. Il primo livello comprende le applicazioni più importanti, come Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud e AGSA (il widget Ricerca Google in Android). Il secondo e il terzo livello includono app sviluppate dalla divisione di ricerca di Google, Google Samples, Red Hot Labs, Nest Labs, Waymo e Waze.
Per quanto riguarda i tipi di vulnerabilità di sicurezza coperte dal programma Mobile VRP, Google afferma di essere più interessata ai bug che consentono l'esecuzione di codice arbitrario e il furto di dati, quindi gli ingegneri della sicurezza dell'azienda daranno la priorità a tali segnalazioni. Allo stesso tempo, l'azienda sta anche cercando di conoscere altre falle di sicurezza che possono essere sfruttate come parte di catene di exploit, tra cui vulnerabilità di path traversal o zip archive traversal, autorizzazioni orfane e reindirizzamenti deliberati che possono essere utilizzati per lanciare file non esportati componenti dell'applicazione.
La ricompensa dipende dalla gravità delle vulnerabilità scoperte e dalle applicazioni interessate e Google è disposta a pagare fino a $ 30 per la scoperta di vulnerabilità che consentono agli aggressori di eseguire codice remoto senza l'intervento dell'utente. le domande di livello 000 e 2 sono rispettivamente di $ 3 e $ 25. L'importo minimo per una segnalazione qualificata è di $ 000, ma Google può anche applicare un bonus di $ 20 per segnalazioni eccezionali.
Il programma di ricompensa di Google per la risoluzione dei bug è uno dei più grandi del settore tecnologico, con 2022 milioni di dollari pagati ai ricercatori di sicurezza solo nel 12. La ricompensa più grande è di 605 dollari per un esperto che ha scoperto una catena di exploit da cinque vulnerabilità in Android.
I ricercatori di sicurezza interessati a Mobile VRP possono trovare maggiori dettagli qui qui. Google afferma che i rapporti dovrebbero essere concisi e includere una breve prova di concetto, se possibile: alcune indicazioni su come inviare al meglio segnalazioni di bug possono essere trovate qui qui.
Leggi anche:
- Samsung ha deciso di lasciare Google come motore di ricerca predefinito
- 2GIS è stato rimosso da Google Play