Ad un anno di distanza dal lancio del programma Android Security Rewards, che assegna premi in denaro a coloro che segnalano bug e vulnerabilità in Android, Google tira le somme: in totale sono stati elargiti premi per un valore di 550.000$ ad 82 ricercatori.
Il sistema Android è un enorme insieme di stringhe di codice che viene ottimizzato e riscritto in continuazione, ogni giorno, da tanti programmatori che vanno a migliorare quotidianamente l’esperienza Android. Google si avvale anche di un’intelligenza artificiale per cercare i bug più grossolani all’interno del codice di Android, ma spesso i bug o le vulnerabilità si celano nascoste all’occhio della macchina, e il fattore umano diventa fondamentale per riportare e correggere questi errori.
Non deve stupire allora la cifra spesa da Google ad un anno dal lancio del programma Android Security Rewards: un bug o una vulnerabilità seria possono affliggere milioni se non miliardi di dispositivi equipaggiati con Android, e al confronto del danno che può essere inflitto i premi sembrano quasi sottostimati.
In media sono stati elargiti 2.200$ di premi per ogni bug riscontrato, ed una media di 6.700$ per ricercatore. Solo 15 ricercatori hanno ricevuto premi per un valore superiore ai 10.000$, mentre il ricercatore più pagato è stato @heisecode, che riportando 26 vulnerabilità ha portato a casa la somma di 75.750$.
I bug e vulnerabilità più pagati sono quelli relativi alla TrustZone e al Verified Boot, due aspetti critici del sistema Android, e vengono giustamente premiati molto di più rispetto ad altri, con un valore medio di 30.000$.
Il programma è andato così bene che Quan To, il responsabile del programma Android Security Rewards, ha dichiarato ufficialmente che i premi verranno aumentati di circa il 33%, secondo le seguenti modalità:
- Una vulnerabilità ad alto rischio comprovata da test verrà pagata 4.000$
- Una vulnerabilità ad alto rischio con un report completo e coadiuvato da una patch per risolverla verrà pagata il 50% in più
- Una vulnerabilità del Kernel in modalità remoto o in prossimità verrà premiata con 30.000$
- Un exploit che compromette la TrustZone o il Verified Boot con 50.000$
Se siete bravi nel ricercare bug e vulnerabilità, questo è sicuramente il momento giusto per provare il il programma Android Security Rewards di Google. Chissà se il prossimo @heisecode non si celi tra di voi.