Per rendere più sicuri Android, Chrome e altri suoi prodotti, Google non bada a spese. Ed è disposta a metter mano al portafoglio se si tratta di poter individuare e correggere le vulnerabilità del sistema operativo mobile, del browser e de servizi Google: 2,9 milioni di dollari è la cifra devoluta lo scorso anno a 274 “cacciatori di bug”, cioè agli informatici, ai programmatori e ai semplici appassionati che partecipano al Vulnerability Reward Program. Stando ai numeri diffusi dall'azienda, nel corso dell'anno circa le tre categorie (Android, Chrome e Google) hanno ciascuna generato circa un milione di dollari di ricompensa per gli autori delle segnalazioni.

 

Dal 2010, anno di avvio del programma, l'azienda di Mountain View ha devoluto ai partecipanti quasi 12 milioni di dollari. E la cifra dell'anno scorso è appena inferiore a quella del 2016 (oltre 3 milioni di dollari). Oltre 1.200 le ricompense accreditate, dirette a 274 individui residenti in una sessantina di Paesi (sui 113 rappresentati). CIrca 160mila dollari sono stati donati in beneficienza.

 

Il colpaccio più grande nel 2017 è spettato a un riceratore di sicurezza, tale Guang Gong, che ha saputo scorprire una vulnerabilità grazie alla quale era possibile lanciare catene di exploit su dispositivi Pixel: a lui sono andati 112.500 dollari, la ricompensa più elevata mai elargita all'interno del programma. Poco meno, 100.000 dollari, è toccato all'esperto nascosto dietro allo pseudonimo “gzobqq”, che ha segnalato una serie di bug veicolo di attacchi con esecuzione di codice remoto attraverso Chrome OS.

 

 

 

 

 

Quest'anno è probabile che le elargizioni siano ancor più generose. Per chi scovi all'interno di app di Google Play la presenza di vulnerabilità con rischio di esecuzione di codice da remoto sono previsti pagamenti variabili fra mille e cinquemila dollari, a seconda della gravità del problema. Per entrare in questo “ramo” del programma è però necessario ricevere un invito. Una nuova categoria di bug da segnalare, inoltre, esordisce quest'anno: quelli che potrebbero agevolare attività di furto di dati o il traffico non crittografato o l'accesso a componenti protette delle app. In questi casi, la ricompensa prevista è di mille dollari. Maggiori dettagli sono disponibili sulla pagina Web del Vulnerability Rewards Programs.