Il programma bug bounty di Google dedicato ad Android ha subito una revisione profonda, con ricompense che ora possono arrivare fino a quasi 1,4 milioni di euro per chi scopre e segnala catene di exploit particolarmente sofisticate. Non si tratta di una mossa casuale. Android resta la piattaforma mobile più diffusa al pianeta e continua ad attirare l’attenzione di gruppi criminali, sviluppatori di spyware commerciale e operatori attivi nel mondo della cyberintelligence. Il premio più alto è riservato agli attacchi che colpiscono i dispositivi Pixel e, in particolare, il chip Titan M2, il modulo hardware che si occupa di funzioni delicatissime come la verifica dell’avvio, la protezione delle chiavi crittografiche e l’integrità complessiva del sistema.
I numeri danno un’idea chiara della portata dell’iniziativa. Google ha dichiarato di aver pagato oltre 16 milioni di euro ai ricercatori solo nel 2025, coinvolgendo più di 740 specialisti. Dal lancio del programma nel 2010, la società ha distribuito complessivamente oltre 75 milioni di euro in ricompense. Ma il dato più interessante non è puramente economico. Google sta spostando le priorità tecniche del proprio Vulnerability Reward Program: le vulnerabilità considerate “facili” vengono premiate meno, mentre i compensi si concentrano sulle catene di compromissione davvero complesse da costruire. C’entra anche l’intelligenza artificiale, che sta rendendo sempre più rapida l’individuazione di bug banali, mentre gli exploit avanzati continuano a richiedere competenze specialistiche di altissimo livello.
Perché Titan M2 è diventato il bersaglio più prezioso
La ricompensa massima da quasi 1,4 milioni di euro riguarda exploit completi di tipo zero-click contro Titan M2. Questo significa che l’attacco non deve richiedere alcuna interazione da parte dell’utente e deve mantenere l’accesso anche dopo riavvii o tentativi di ripristino del dispositivo. Titan M2 non è un semplice coprocessore di sicurezza: deriva dal progetto OpenTitan ed è pensato per funzionare come root of trust hardware. Controlla la validità del bootloader, protegge il rollback delle versioni firmware, conserva segreti crittografici e collabora con Android Verified Boot.
Per riuscire a compromettere un componente del genere, un ricercatore deve quasi sempre concatenare più vulnerabilità: una falla nel kernel Linux usato su Android, un bypass delle mitigazioni di memoria, un accesso privilegiato al Secure Element e, in alcuni casi, una tecnica per evitare il ripristino delle protezioni dopo il reboot. Google distingue anche tra exploit con e senza persistenza. Una compromissione temporanea di Titan M2 può valere circa 700.000 euro, ma il premio raddoppia quando l’attaccante dimostra di poter mantenere il controllo in modo stabile nel tempo.
Le modifiche non riguardano solo Android. Google ha aggiornato anche il programma dedicato a Chrome, portando fino a circa 230.000 euro le ricompense per exploit completi della sandbox del browser su sistemi aggiornati. Un aspetto tecnico interessante riguarda MiraclePtr, una tecnologia sviluppata internamente per mitigare vulnerabilità legate alla corruzione della memoria nel browser. Chi riesce a compromettere allocazioni protette da questo meccanismo può ottenere un bonus aggiuntivo di oltre 230.000 euro. MiraclePtr nasce per contrastare bug tipici del codice C++ come use after free e dangling pointer, introducendo controlli supplementari sulla validità dei puntatori durante l’accesso alla memoria. Superare queste difese richiede tecniche avanzate e una comprensione profonda dell’architettura interna di Chromium.
L’ecosistema Android resta un obiettivo estremamente complesso
Tra le dichiarazioni più significative pubblicate da Google ce n’è una che fotografa bene lo stato attuale del settore. L’azienda sostiene che gli strumenti basati su intelligenza artificiale rendono ormai semplice produrre report lunghi e dettagliati, e di conseguenza il valore della documentazione prolissa si riduce. La società preferisce ora segnalazioni sintetiche, concentrate sulle prove tecniche e sugli elementi realmente utili alla riproduzione del bug. Meno pagine descrittive, più proof of concept funzionanti. Non a caso, il programma Android limita fortemente le ricompense per vulnerabilità del kernel Linux che non siano accompagnate da una dimostrazione concreta di sfruttabilità. In passato bastava spesso segnalare il bug, oggi serve dimostrare un impatto reale.
A dispetto dei numerosi livelli di protezione introdotti negli ultimi anni su Android (ASLR, SELinux, Control Flow Integrity, sandboxing applicativo, isolamento dei processi e difese hardware), diverse vulnerabilità recenti hanno mostrato quanto sia ancora possibile costruire attacchi avanzati. Alcune falle Qualcomm sfruttate in campagne mirate hanno coinvolto driver GPU Adreno e componenti kernel ad alta esposizione, consentendo in certi casi escalation di privilegi e accesso persistente su dispositivi non aggiornati.
La frammentazione dell’ecosistema Android resta poi un problema serio. I Pixel ricevono patch rapidamente, ma altri produttori distribuiscono aggiornamenti con settimane o mesi di ritardo. Un exploit funzionante contro una versione specifica di Android può quindi restare efficace molto più a lungo rispetto a quanto accadrebbe in ambienti più centralizzati. A tutto questo si aggiunge un dato che fa riflettere: quasi 1 miliardo di dispositivi Android risultano esposti ad attacchi perché non più supportati dai rispettivi produttori con il rilascio degli aggiornamenti di sicurezza.
