Il gigante americano dell’informatica ha creato un ingegnoso metodo per tenere sotto controllo la navigazione sicura su internet e tutti possiamo beneficiarne anche economicamente
Google ha recentemente annunciato il lancio del suo nuovo programma di bug bounty chiamato Mobile Vulnerability Rewards Program (Mobile VRP). Attraverso questo programma, l’azienda intende premiare i ricercatori che scoprono e segnalano falle di sicurezza all’interno delle sue applicazioni Android.
Nel 2022 Google ha speso oltre 12 milioni di dollari in sicurezza informatica, attraverso veri e propri premi assegnati ai numerosi ricercatori che si sono cimentati nella ricerca di bug all’interno dell’universo virtuale della grande G.
Studiato per scovare gli errori
Google ha introdotto un nuovo concorso a premi per risolvere alcuni problemi di vulnerabilità: pagherà i ricercatori che trovano difetti di sicurezza nel suo software open source o negli elementi costitutivi del suo software. Il nuovo programma di ricompensa, il Mobile Vulnerability Rewards Program o Mobile VRP, con il quale i ricercatori vengono premiati con ricompense in denaro e riconoscimenti pubblici per aver trovato un bug. L’ obiettivo dell’azienda è quello di collaborare con la comunità di utenti per individuare le varie vulnerabilità nelle app Android ed eliminarle. “Il Vulnerability Rewards Program è aperto a tutti i ricercatori di sicurezza e prevede ricompense per le vulnerabilità scoperte e segnalate secondo le regole indicate. L’obiettivo del VRP è fornire un processo formale per onorare i contributi dei ricercatori”. Così la società ha presentato il progetto. Le vulnerabilità interessate, in questo caso, sono quelle che consentono l’esecuzione di codice arbitrario e il furto di dati sensibili.
Un premio in denaro
I premi andranno dai 101 dollari fino a salire a un totale di 31.337 dollari per informazioni sui bug in progetti come Angular, GoLang e Fuchsia o per vulnerabilità nelle dipendenze di terze parti incluse nel codice. La società quindi si impegna a pagare a seconda della vulnerabilità e della gravità del bug. Sono previste ricompense più alte per l’individuazione di problemi che permettono l’esecuzione di codice senza interazioni da parte dell’utente, e fino 7.500 dollari per le vulnerabilità relative al furto di dati sensibili. “Siamo entusiasti di annunciare il nuovo Mobile VRP! Cerchiamo cacciatori di bug che ci aiutino a trovare e correggere le vulnerabilità nelle nostre applicazioni mobili. Il Mobile VRP riconosce i contributi e il duro lavoro dei ricercatori che aiutano Google a migliorare la posizione di sicurezza delle nostre applicazioni Android di prima parte. L’obiettivo è mitigare le vulnerabilità nelle applicazioni Android proprietarie e quindi proteggere gli utenti e i loro dati.” L’azienda spiega i termini del programma per incoraggiare, ricompensare e ringraziare coloro che contribuiscono a rendere più sicuro il codice Google. Casey Bisson, responsabile del prodotto e dell’abilitazione degli sviluppatori presso BluBracket, un fornitore di soluzioni per la sicurezza informatica, ha sottolineato che “in qualità di gestore di numerosi progetti open source, il programma bounty di Google è una risposta necessaria al crescente rischio di attacchi alla catena di fornitura del software. Anche se potrebbe essere una sfida gestire una cosa del genere, non c’è dubbio che sarebbe un beneficio per la comunità nel suo complesso”. Secondo Bisson, i ricercatori che sondano le vulnerabilità di sicurezza non sempre hanno adeguati compensi, “quindi offrire una taglia a chi la scopre può aiutare a scoprire rischi che altrimenti potrebbero essere venduti a malintenzionati”.
