Google ha annunciato l’introduzione di un nuovo programma di bug bounty chiamato Mobile Vulnerability Rewards Program (Mobile VRP) che si concentra sulle applicazioni Android sviluppate o gestite da Google.
Attraverso questo programma, il gigante IT intende riconoscere i contributi e il duro lavoro dei ricercatori di sicurezza che scoprono e segnalano falle di sicurezza delle sue applicazioni Android.
L’obiettivo del programma è mitigare le vulnerabilità nelle applicazioni Android e quindi proteggere gli utenti e i loro dati.
Nell’ambito del Mobile VRP rientrano solo le app pubblicate dagli sviluppatori, ossia, Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc., Waymo LLC e Waze. Inoltre, l’elenco comprende anche le cosiddette “Tier 1” delle applicazioni Android, tra cui Google Play Services, AGSA, Google Chrome, Google Cloud, Gmail e Chrome Remote Desktop.
Le vulnerabilità considerate qualificabili per il programma di bug bounty includono quelle che consentono l’esecuzione arbitraria di codice (ACE) e il furto di dati sensibili. Inoltre, sono ritenute ammissibili anche le vulnerabilità utilizzate insieme ad altre vulnerabilità per creare una catena di exploit. Tra gli esempi, le autorizzazioni orfane, le vulnerabilità causate dall’uso non sicuro di intent pendenti, le ridirezioni degli intent che possono essere sfruttate per avviare componenti non esportate delle applicazioni.
Gli importi dei premi offerti dall’azienda dipendono dal tipo di vulnerabilità e dallo scenario in cui la vulnerabilità può essere sfruttata e partono da 500 dollari fino a un massimo di 30.000 dollari.
Google ha espresso entusiasmo per il programma, invitando esperti nel settore a unirsi nella ricerca e correzione di tali debolezze.
“Siamo entusiasti di annunciare il nuovo programma di premi per la vulnerabilità mobile! Cerchiamo cacciatori di bug che ci aiutino a trovare e correggere le vulnerabilità nelle nostre applicazioni mobili”.
I cacciatori di bug interessati a partecipare al Mobile VRP possono inviare la loro segnalazione tramite il modulo disponibile nella pagina di segnalazione.