Google annuncia un premio di $40.000 per la segnalazione di bug nel sistema operativo Android

Google invita hacker etici e ricercatori di sicurezza a trovare vulnerabilità di sicurezza in Android con un’offerta di $40.000 (£25.600)

Google inizierà a pagare una ricompensa fino a $40.000 (£25.600) ai ricercatori di sicurezza che trovano bug nei suoi dispositivi Android. L’azienda ha anche annunciato un nuovo programma per garantire la sicurezza del software di terze parti sul sistema operativo Android, incoraggiando gli sviluppatori a non utilizzare librerie di programmazione obsolete nelle loro applicazioni.

Adrian Ludwig, il responsabile della sicurezza di Android, ha dichiarato: “Vediamo il mobile diventare probabilmente il modo più importante per le persone di connettersi a Internet. Inoltre, stiamo vedendo che fornisce la verifica in due fasi e la causa di speranza nel modo in cui gli utenti interagiscono.”

Tuttavia, la maggior parte della ricerca sulla sicurezza presta ancora attenzione ai sistemi legacy. Stiamo cercando di spostare questo incentivando i ricercatori di sicurezza a concentrare i loro sforzi sul mobile. Il nuovo schema chiamato “Android Security Rewards” seguirà il successo di un programma simile per il browser web Chrome di Google. Nel 2014, l’azienda ha pagato più di $1,5 milioni ai ricercatori di sicurezza.

Ludwig afferma che la decisione di esaminare le app Android per le librerie software che potrebbero creare una minaccia per la sicurezza è stata presa un anno fa e ora sarà implementata oltre la sua introduzione “sperimentale”. Ha anche detto che riguardo alla scansione delle app non cercheremo deliberatamente comportamenti scorretti, ma cercheremo errori.

Ludwig ha fornito un chiaro esempio di OpenSSL, che è la libreria di crittografia open-source che era nella mente della vulnerabilità Heartbleed del 2014.

Ludwig ha detto che stiamo prestando attenzione a una vecchia storia di OpenSSL. Circa un anno fa abbiamo iniziato a scansionare le app e a notificare gli sviluppatori se hanno commesso quel tipo di errore. “Il nostro obiettivo è arrivare al punto in cui ci sia una base comune e vogliamo mettere in atto strutture per aiutare gli sviluppatori ad aggiornare le loro app, in modo che il valore di tutte le app aumenti.”

Gli sviluppatori che desiderano richiedere il premio per bug di Google dovranno dimostrare vulnerabilità che colpiscono i due dispositivi Nexus in commercio dell’azienda, ovvero il Nexus 6 e il Nexus 9. A causa della divisione del mercato Android, Google non può dimostrare se i bug che colpiscono altri dispositivi Android siano un errore del sistema operativo o degli aggiuntivi del produttore. Le ricompense sono su un livello scorrevole, da $500 per un bug minore offerto senza lavoro extra oltre all’identificazione, fino a $38.000 per una grave vulnerabilità fornita insieme a una prova di concetto per l’uso remoto e un’area per risolvere il problema. “Il nostro obiettivo è che questo possa diventare uno studio a tempo pieno e un’opportunità molto ben retribuita,” afferma Ludwig.

Un altro schema di sicurezza di Google chiamato Project Zero ha guadagnato all’azienda una leggera quantità di polemiche per la sua pratica di rilasciare prove di concetto utilizzando i dispositivi di altre aziende. Questo progetto mira a riconoscere vulnerabilità precedentemente non identificate e poi rivelarle ai produttori con un limite di tempo di 90 giorni per risolverle. Se non si avvicina alcuna soluzione, il gruppo renderà pubblicamente l’attacco, per incoraggiare le aziende a velocizzare le loro patch di sicurezza.

Sebbene l’azienda pratichi ciò che predica: Ludwig afferma che le vulnerabilità di Android sono ricercate da Project Zero. Se Project Zero identifica un problema, allora ci viene dato un limite di tempo per lavorare all’interno di quell’obiettivo, come tutti gli altri. Finora non abbiamo perso una scadenza.

“Crediamo completamente nel far rispondere i produttori prontamente, tutte quelle parti dovrebbero rispondere rapidamente.”