Google Aumenta la Ricompensa Fino a $450.000 per i Bug RCE in Alcune App Android

Google sta ora offrendo una ricompensa fino a $450.000 per la segnalazione di vulnerabilità di esecuzione remota di codice (RCE) all’interno di alcune app Android selezionate.

Per chi non lo sapesse, RCE è un attacco informatico in cui un attaccante può eseguire codice dannoso su un computer target da remoto, indipendentemente dalla sua posizione, al fine di distribuire ulteriore malware o rubare dati sensibili.

In precedenza, la ricompensa per la segnalazione di vulnerabilità RCE nell’app di Tier 1 era di $30.000, che ora è aumentata fino a 10 volte a $300.000.

Questi cambiamenti sono stati apportati al Mobile Vulnerability Rewards Program (Mobile VRP) lanciato nel 2023, che si concentra sulle app Android di prima parte sviluppate o mantenute da Google.

L’obiettivo di questo programma è “mitigare le vulnerabilità nelle applicazioni Android di prima parte, e quindi mantenere gli utenti e i loro dati al sicuro” riconoscendo “i contributi e il duro lavoro dei ricercatori che aiutano Google a migliorare la sicurezza delle nostre applicazioni Android di prima parte.”

Dalla sua attivazione, il Mobile VRP ha ricevuto oltre 40 segnalazioni valide di bug di sicurezza, per le quali ha pagato quasi $100.000 in ricompense ai ricercatori di sicurezza.

Passando al Tier 1, l’elenco delle app in ambito include Google Play Services, l’app Android Google Search (AGSA), Google Cloud e Gmail.

Google ora vuole anche che i ricercatori di sicurezza prestino particolare attenzione ai difetti che potrebbero portare al furto di dati sensibili. Per gli exploit che richiedono interazione remota o nessuna interazione dell’utente, i ricercatori sarebbero pagati $75.000.

Inoltre, il gigante tecnologico pagherà 1,5 volte l’importo totale della ricompensa per rapporti di qualità eccezionale che includono una patch proposta o una mitigazione efficace della vulnerabilità, così come un’analisi delle cause profonde che aiuta a trovare altre varianti simili del problema. Questo consentirebbe ai ricercatori di guadagnare fino a $450.000 per un exploit RCE in un’app Android di Tier 1.

Tuttavia, i ricercatori riceverebbero metà della ricompensa per rapporti di bug di bassa qualità che non forniscono:

• Una descrizione accurata e dettagliata del problema

• Un exploit di prova di concetto

• Un’applicazione di esempio sotto forma di APK

• Una spiegazione passo-passo su come riprodurre la vulnerabilità in modo affidabile

• Un’analisi chiara e una dimostrazione dell’impatto della vulnerabilità

| | Categoria | | 1) Interazione Remota/Nessuna Interazione Utente | | 2) L’utente deve seguire un link che sfrutta l’app vulnerabile | | 3) L’utente deve installare un’app dannosa o l’app vittima è configurata in modo non predefinito | | 4) L’attaccante deve essere sulla stessa rete (es. MiTM) | |

| | A) Esecuzione di Codice Arbitrario | | $300.000 | | $150.000 | | $15.000 | | $9.000 | |

| | B) Furto di Dati Sensibili* | | $75.000 | | $37.500 | | $9.000 | | $6.000 | |

| | C) Altre Vulnerabilità | | $24.000 | | $9.000 | | $4.500 | | $2.400 | |

“Sono stati apportati anche alcuni cambiamenti aggiuntivi, più piccoli, alle nostre regole. Ad esempio, il modificatore 2x per gli SDK è ora integrato nelle ricompense regolari. Questo dovrebbe aumentare le ricompense complessive e rendere più facili le decisioni del panel,” ha dichiarato l’ingegnere della sicurezza informatica di Google Kristoffer Blasiak.