Google apre ancora di più il portafoglio per invogliare ricercatori e sviluppatori ad andare a caccia di bug in Android. Big G ha modificato l’iniziativa Android Security Rewards, inserita un anno fa nel Google Vulnerability Rewards Program e che ad oggi ha portato il gruppo di Mountain View a elargire circa 550mila dollari a 82 persone: una media di 6.700 dollari a ricercatore. A partire dal primo giugno scorso, tutti i nuovi report inviati al team di sviluppo di Big G contenenti la descrizione del bug e il proof of concept verranno pagati il 33 per cento in più. Per esempio, il premio per un documento che include una vulnerabilità critica passerà da tremila a quattromila dollari.
I report con la prova dell’exploit, un test effettuato con Compatibility Test Suite (Cts) di Android o una patch applicabile riceverà invece un premio maggiorato del 50 per cento. La ricompensa per exploit da remoto o che interessano il kernel in prossimità passerà da 20mila a 30mila dollari. Infine, la torta più sostanziosa riguarda le catene di exploit da remoto o i bug riguardanti la Trustzone o capaci di compromettere il Verified Boot: in questo caso, i ricercatori si porteranno a casa 50mila dollari invece di 30mila.
Dal lancio del programma di sicurezza, Google ha ricevuto oltre 250 report. Secondo un blogpost scritto da Quan To, program manager, Android Security, oltre un terzo delle pratiche segnalate ha riguardato falle nel Media Server del sistema operativo, che è stato rafforzato in modo significativo nella prossima versione di Android, ribattezzata Nutella e attesa nei prossimi mesi.
Il ricercatore finora più pagato tramite il bug bounty program di Google è stato Peter Pi, noto su Twitter come @heisecode: l’esperto programmatore ha ricevuto 75.750 dollari per aver inviato a Big G ben 26 report con diverse vulnerabilità. Quindici sviluppatori sono stati invece pagati più di diecimila dollari, mentre nessuno, fa sapere il colosso di Mountain View, è riuscito a dimostrare exploit completi dei sistemi da remoto. Forse questa è una buona notizia per la sicurezza dei dispositivi Android e di centinaia di milioni di persone.