Google ha recentemente annunciato il lancio del suo nuovo programma di bug bounty chiamato Mobile Vulnerability Rewards Program (Mobile VRP).
Attraverso questo programma, l'azienda intende premiare i ricercatori di sicurezza che scoprono e segnalano falle di sicurezza all'interno delle sue applicazioni Android.
Il Mobile VRP mira a velocizzare il processo di individuazione e risoluzione delle vulnerabilità presenti nelle applicazioni Android sviluppate o mantenute direttamente da Google. L'azienda ha espresso entusiasmo per il programma, invitando esperti nel settore a unirsi nella ricerca e correzione di tali debolezze.
Le applicazioni coinvolte nel Mobile VRP includono quelle sviluppate da Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC e Waze. Inoltre, l'elenco comprende anche le cosiddette "Tier 1" delle applicazioni Android, tra cui Google Play Services, AGSA, Google Chrome, Google Cloud, Gmail e Chrome Remote Desktop.
Le vulnerabilità considerate idonee per il programma di bug bounty includono quelle che consentono l'esecuzione arbitraria di codice (ACE) e il furto di dati sensibili. Inoltre, sono ritenute ammissibili anche le debolezze che possono essere combinate con altre falle per causare impatti simili.
Tra gli esempi di vulnerabilità riconosciute da Google ci sono le autorizzazioni "orfane", le falle di attraversamento di percorso o di percorso di archivio che portano a scritture arbitrarie di file e le ridirezioni degli intent che possono essere sfruttate per avviare componenti non esportate delle applicazioni. Inoltre, vengono considerati anche i bug di sicurezza derivanti dall'uso non sicuro degli intent pendenti.
We are excited to announce the new Mobile VRP! We are looking for bughunters to help us find and fix vulnerabilities in our mobile applications. https://t.co/HDs1hnGpbH
— Google VRP (Google Bug Hunters) (@GoogleVRP) May 22, 2023
Per incentivare i ricercatori a partecipare al programma, Google ha stabilito un sistema di taglie. In particolare, verranno assegnati fino a 30.000 dollari per l'esecuzione remota di codice senza interazione dell'utente e fino a 7.500 dollari per i bug che permettono il furto di dati sensibili a distanza.
| Categoria | 1) Remoto/assenza di interazione con l'utente | 2) L'utente deve seguire un link che sfrutta l'applicazione vulnerabile | 3) L'utente deve installare un'applicazione dannosa o l'applicazione vittima è configurata in modo non predefinito | 4) L'attaccante deve trovarsi sulla stessa rete (es. MiTM) |
| Esecuzione di codice arbitrario | $30.000 | $15.000 | $4.500 | $2.250 |
| Furto di dati sensibili | $7.500 | $4.500 | $2.250 | $750 |
| Altre vulnerabilità | $7.500 | $4.500 | $2.250 | $750 |
Secondo Google, l'obiettivo principale del Mobile VRP è migliorare la sicurezza delle applicazioni Android, garantendo così la protezione dei dati e degli utenti.
Non è la prima volta che Google lancia un programma di bug bounty. Già nel 2010, l'azienda aveva introdotto il suo primo VRP e, nel corso degli anni, ha pagato più di 50 milioni di dollari in premi a migliaia di ricercatori di sicurezza in tutto il mondo per la segnalazione di oltre 15.000 vulnerabilità.
Nel 2022, Google ha premiato complessivamente 12 milioni di dollari attraverso il suo programma di bug bounty. Tra i premi assegnati, spicca un pagamento record di 605.000 dollari a un ricercatore di sicurezza noto come gzobqq per una catena di exploit che coinvolgeva cinque bug di sicurezza separati. Questa è stata la somma più alta mai assegnata nella storia del VRP di Android.
Con il lancio del Mobile VRP, Google continua a dimostrare il suo impegno per la sicurezza delle sue applicazioni Android e rafforza la collaborazione con la comunità dei ricercatori di sicurezza. Grazie a questa partnership, l'azienda potrà identificare e risolvere in modo tempestivo le vulnerabilità presenti nelle sue app, assicurando una maggiore protezione per gli utenti e i loro dati sensibili.