"Security Rewards for Android", o più brevemente Android Rewards, è il nuovo programma di Google che ricompensa i ricercatori che identificano vulnerabilità di sicurezza in Android, scoprono modi per risolverle o soluzioni per prevenirle.
Si tratta di fatto di un'estensione di un programma attivo dal 2010 e che riguarda diversi prodotti della casa di Mountain View. "Lo scorso anno abbiamo pagato oltre 1,5 milioni di dollari ai ricercatori di sicurezza che hanno scovato vulnerabilità in Chrome e altri prodotti Google", fa sapere Jon Larimer, Android Security Engineer.
L'espansione del programma ad Android permetterà non solo di rendere il sistema operativo sempre più sicuro, ma farlo con un esborso tutto sommato contenuto per un'azienda che solo nell'ultimo trimestre ha fatturato oltre 17 miliardi di dollari.
Google, in questo modo, favorisce di riflesso anche l'immagine di Android come un vero prodotto "open source", etichetta su cui si è discusso molto in passato.
"Per le vulnerabilità che riguardano i tablet e smartphone Nexus in vendita su Google Play (attualmente Nexus 6 e Nexus 9) pagheremo per ogni passaggio necessario per risolvere il bug di sicurezza, incluse patch e test", sottolinea Google.
Oltre ai premi per le vulnerabilità, il programma offrirà ricompense maggiori ai ricercatori di sicurezza che investiranno tempo e risorse in test e aggiornamenti votati a rendere l'intero ecosistema migliore.
"Le maggiori ricompense sono disponibili ai ricercatori che dimostrano come aggirare le caratteristiche di sicurezza di Android come ASLR, NX e il sistema di sandbox che è progettato per impedire exploit e proteggere gli utenti", ha aggiunto Larimer. L'azienda ha creato una pagina sul proprio sito con tutti i dettagli, tra cui anche l'ammontare delle ricompense.
| Severità | Bug | Test case | CTS / patch | CTS+Patch |
|---|---|---|---|---|
| Critical | $2,000 | $3,000 | $4,000 | $8,000 |
| High | $1,000 | $1,500 | $2,000 | $4,000 |
| Moderate | $500 | $750 | $1,000 | $2,000 |
| Low | $0 | $333 | $500 | $1,000 |
Normalmente Google pagherà 2000 dollari per una falla "critica", 1000 dollari una vulnerabilità con livello di pericolo "alto" e 500 dollari per una di carattere "moderato". Si arriva fino a 8000 dollari a seconda del lavoro svolto dal ricercatore, ma Google offrirà fino a 30.000 dollari in più per exploit che possono compromettere TrustZone o Verified Boot.
Il programma Android Rewards si affianca al Patch Reward Program già esistente, che si concentra sulle fondamenta open source di Android. Il nuovo programma include vulnerabilità nel codice di Android, le librerie e i driver OEM, il kernel, ARM TrustZone e i moduli.
 | Google Nexus 9 | |
 | Google Nexus 6 |
"Le falle in codice non Android, come il codice che opera nel firmware del chipset, potrebbero essere idonee se impattano sulla sicurezza di Android. […] Le patch che non risolvono necessariamente una vulnerabilità ma forniscono ulteriore sicurezza potrebbero essere qualificate per il Google Patch Rewards", conclude Google.
Se siete ricercatori di sicurezza e lavorate su Android, ecco un modo per mettere a frutto le vostre competenze e ritornare dell'investimento. Tempo, impegno e preparazione hanno un costo e Google fa bene a riconoscerlo.