Google aumenta le ricompense per chi trova bug in Chrome: fino a 250 mila dollari per singola vulnerabilità

Google ha annunciato un'importante revisione del suo Vulnerability Reward Program (VRP) per Google Chrome, più che raddoppiando gli importi delle ricompense per le segnalazioni di falle di sicurezza. L'obiettivo di questa mossa è ovviamente quello di incentivare ricerche ed analisi più approfondite e report di alta qualità sulle vulnerabilità del popolare browser.

L'ingegnere della sicurezza di Chrome, Amy Ressler, ha spiegato che è giunto il momento di evolvere la struttura del programma, offrendo aspettative più chiare ai ricercatori e incoraggiando l'esecuzione di analisi più approfondite delle potenziali minacce. Il cambiamento più significativo riguarda l'importo massimo della ricompensa, che ora può raggiungere i 250.000 dollari per una singola vulnerabilità.

La nuova struttura delle ricompense è basata su una classificazione dettagliata delle vulnerabilità. Al vertice della piramide si trovano i report di alta qualità che dimostrano l'esecuzione di codice remoto (RCE) attraverso un exploit funzionale. In particolare, nel caso in cui sia possibile eseguire codice da remoto in un processo non sandbox e senza compromettere il renderer di Chrome, la ricompensa potrebbe anche superare i 250 mila dollari.

Google ha anche introdotto una categorizzazione più raffinata per altre classi di vulnerabilità, basata su criteri come la qualità del report, l'impatto potenziale e il danno per gli utenti di Chrome. Le categorie spaziano da "impatto inferiore" (con basso potenziale di sfruttamento e prerequisiti significativi) a "impatto elevato" (con percorso diretto verso lo sfruttamento e danni significativi dimostrabili).

Un'attenzione particolare è stata rivolta ai bypass di MiraclePtr, una tecnologia di sicurezza di Chrome. Le ricompense per questo tipo di vulnerabilità sono state più che raddoppiate, passando da 100.115 a 250.128 dollari.

Ressler ha sottolineato che tutti i report rimangono idonei per premi bonus quando includono caratteristiche applicabili. Google continuerà inoltre a esplorare opportunità di premi sperimentali, simili al precedente Full Chain Exploit Reward, per mantenere il programma in linea con le esigenze della comunità della sicurezza.

È importante notare che non tutti i report saranno premiati. Quelli che non dimostrano un impatto concreto sulla sicurezza o un potenziale danno per l'utente, o che si limitano a problemi teorici o speculativi, difficilmente riceveranno una ricompensa.

Questa revisione del VRP di Chrome si inserisce in un contesto più ampio di cambiamenti nei programmi di sicurezza di Google. L'azienda ha recentemente annunciato la chiusura del Play Security Reward Program (GPSRP) per nuove segnalazioni a partire dal 31 agosto, citando una diminuzione delle vulnerabilità segnalabili. A luglio ha lanciato kvmCTF, un nuovo programma focalizzato sulla sicurezza dell'hypervisor Kernel-based Virtual Machine (KVM), con premi fino a 250.000 dollari per exploit di escape VM completi.

Il Vulnerability Reward Program di Google, attivo dal 2010, ha già distribuito oltre 50 milioni di dollari in ricompense, ricevendo segnalazioni per più di 15.000 vulnerabilità.