Google è generosa: darà fino a un massimo di un milione di dollari al migliore “cacciatore di bug”, capace di scovare un problema realmente serio all’interno di Android. Al debutto del programma di bug bounty di Android (Android Security Rewards), quattro anni e mezzo fa, la ricompensa massima prevista era di 38.000 dollari, e per meritarsela era necessario individuare un potenziale exploit. Ora i premi in denaro si sono alzati decisamente, e questo è un chiaro segno di quanto il sistema operativo per smartphone e tablet sia diventato strategico Google e vitale per la sicurezza e la privacy dei dati di centinaia di milioni di utenti.
Ottenere la ricompensa massima non basta, ovviamente, segnalare un problema qualsiasi. Può diventare milionario solo chi scopra una vulnerabilità grave, da cui possa derivare un attacco con esecuzione di codice da remoto, all’interno del chip di sicurezza Pixel Titan M. Ovvero nel componente grazie al quale, a detta di Google, gli smartphone Pixel 3 e Pixel 4 possono vantare livelli di sicurezza mai visti in modelli precedenti. Su questi dispositivi il chip gestisce le credenziali di accesso, la crittografia e la protezione dei dati delle applicazioni e in generale del sistema operativo.
Se poi un milione di dollari non fosse abbastanza, i più esperti potranno cimentarsi nella caccia ai bug su una versione di anteprima di Android. Se l’exploit riferito a Pixel Titan M viene scoperto con una developer preview, allora può scattare un bonus di 500.000 dollari. Vale mezzo milione di dollari anche la scoperta di una vulnerabilità di data exfiltration relativa a Pixel Titan M. A seguire, i premi più succulenti riguardano tutti le vulnerabilità che consentono esecuzione di codice da remoto: si va 250.000 a 100.000 dollari.
Questa è la punta dell’iceberg, ma scendendo via via di livello e di gravità del bug si possono comunque guadagnare cifre più o meno sostanziose. “Il premio”, si legge nella pagina del programma Android Security Rewards, “dipende dalla severità della vulnerabilità e dalla qualità del report. Una segnalazione di bug valida ma con report di scarsa qualità potrebbe ricevere fino a 200 dollari”. Un report completo, nella definizione di Google, include quanti più dettagli possibili, un proof of concept, un crash dump se disponibile e qualsiasi altro elemento documentabile. I file devono essere completi, privi di contenuti protetti da copyright e distribuibili tramite test Cts.