Sommario
Google ha concluso il 2024 con un nuovo record nel Vulnerability Reward Program (VRP), il programma che incentiva i ricercatori di sicurezza a segnalare vulnerabilità nei suoi prodotti. Con un totale di 12 milioni di dollari distribuiti a oltre 600 esperti di sicurezza in tutto il mondo, il colosso di Mountain View conferma l’importanza della collaborazione con la comunità di hacker etici per migliorare la protezione delle proprie piattaforme.
Miglioramenti e nuove opportunità per i bug hunter
Durante il 2024, Google ha rinnovato il programma introducendo un nuovo sistema di premi, con importi massimi più elevati per le vulnerabilità più critiche. Il Mobile VRP ha visto un incremento significativo, offrendo fino a 300.000 dollari per exploit in applicazioni di fascia alta, mentre il Cloud VRP ha assegnato riconoscimenti fino a 151.515 dollari.
L’introduzione dell’InternetCTF ha incentivato la ricerca di vulnerabilità nei software open source, premiando chi contribuisce a migliorare la sicurezza globale del web. La piattaforma di pagamento Bugcrowd è stata integrata nel sistema di ricompense, rendendo più veloce e agevole il pagamento per i ricercatori.
Focus su Android, Chrome e Cloud
Nel corso dell’anno, il programma ha investito su tre pilastri principali: Android, Chrome e Google Cloud. Sul fronte Android, il VRP ha premiato con 3,3 milioni di dollari la scoperta di vulnerabilità critiche, con un’attenzione particolare verso Android Automotive OS e WearOS. Eventi di hacking dal vivo, come la competizione tenutasi a Malaga, hanno favorito il rilevamento di falle nei dispositivi Pixel, portando a miglioramenti significativi nella sicurezza del sistema operativo.
Per quanto riguarda Chrome, il valore massimo dei premi è stato portato a 250.000 dollari, incentivando la ricerca su exploit avanzati. L’implementazione di nuove misure di protezione, come MiraclePtr, ha reso alcune vulnerabilità non più sfruttabili, mentre il programma ha assegnato complessivamente 3,4 milioni di dollari ai ricercatori che hanno identificato falle nel browser.
Il Cloud VRP, lanciato nell’ottobre 2024, ha ricevuto oltre 400 segnalazioni, portando alla scoperta di 200 vulnerabilità uniche. Più di 500.000 dollari sono stati assegnati per il miglioramento della sicurezza nei servizi cloud di Google.
L’intelligenza artificiale al centro della ricerca sulla sicurezza
L’azienda ha dato il via a un nuovo programma di bug bounty dedicato all’intelligenza artificiale, premiando i ricercatori che hanno individuato falle nei modelli generativi di Google. Con oltre 150 segnalazioni e 55.000 dollari assegnati, il focus sulla sicurezza dell’AI si conferma una priorità per il futuro.
Eventi speciali come il bugSWAT hanno permesso di testare la resistenza dei sistemi di intelligenza artificiale, portando alla scoperta di tecniche di attacco inedite.
Obiettivi per il 2025
Il prossimo anno segnerà il 15° anniversario del Vulnerability Reward Program di Google. L’azienda punta a rafforzare la collaborazione con la comunità di sicurezza, estendendo il programma a nuove aree e adattandosi alle minacce emergenti. La sicurezza dei prodotti Google continuerà a essere una priorità, con l’obiettivo di rendere le piattaforme più resilienti e proteggere gli utenti da minacce sempre più sofisticate.
