Android, fino a 1,5 milioni da Google per chi scopre bug sul sistema operativo

Android, fino a 1,5 milioni da Google per chi scopre bug sul sistema operativo

Google ha dichiarato che è disposta a pagare fino a 1,5 milioni di dollari per chi scopre bug gravi sul sistema operativo Android

di pubblicata il , alle 10:41 nel canale Telefonia
GoogleAndroidPixel
 

Google pagherà fino a 1,5 milioni di dollari per gli exploit più gravi presenti sulla famiglia di smartphone Android proprietaria, Google Pixel. Si tratta di un aumento di sette volte rispetto ai premi precedenti relativi al sistema operativo mobile, in base a quanto rivelato dalla società all'interno di un post pubblicato lo scorso giovedì. Il programma Android Security Rewards (ASR) nasceva nel 2015, ed è una sorta di caccia al bug, e le novità sono attive già da subito.

Il funzionamento è semplice: i ricercatori di sicurezza scoprono e segnalano un bug presente su Android e Google, in base all'entità dello stesso, offre un premio agli stessi. Nel corso della sua attività il colosso ha offerto 1800 premi, e adesso sta estendendo la "taglia" massima.

Fra i premi dell'azienda abbiamo un massimo di 1 milione di dollari per chi scopre un "exploit full chain di esecuzione remota di codice con prova di persistenza nella compromissione dell'elemento Titan M sui dispositivi Pixel"; o 500 mila dollari per chi rivela  exploit che consentono di esfiltrare dati da uno smartphone Pixel o l'aggiramento della schermata di blocco. In aggiunta, Google offrirà un bonus del 50% del premio garantito per chi dimostra che gli exploit sono eseguibili su specifiche versioni di Android d'anteprima.

Questo significa che le taglie possono spingersi fino a 1,5 milioni di dollari nel primo caso e fino a 750 mila dollari nel secondo. In precedenza il premio massimo era di 200 mila dollari per i bug più critici che riguardavano ambienti estremamente sensibili, come l'elemento del sistema operativo attraverso il quale vengono gestiti i pagamenti o l'autenticazione a più fattori, mentre si arrivava a 150 mila dollari per i bug presenti nel kernel.

Le novità nel programma di "bug bounty" rientrano negli investimenti che Google ha esteso per mettere in sicurezza i device della famiglia Pixel. Titan M è un chip progettato internamente da Google, completamente separato dal SoC del sistema operativo o da altri chipset, ed è delegato a gestire tutti i dati e le funzioni più sensibili legati alla sicurezza degli smartphone. È il corrispettivo sui Pixel della Secure Enclave degli iPhone, o della TrustZone dei dispositivi che usano un processore con architettura ARM.

Titan M è la versione mobile del chip Titan, è stato annunciato nel 2018 ed è stato implementato su tutti i dispositivi delle famiglie Pixel 3 (anche Pixel 3a) e Pixel 4. Serve a immagazzinare informazioni sensibili dello smartphone, come ad esempio le chiavi crittografiche dell'unità di storage del sistema operativo, tutte le chiavi private, incluse quelle delle app di terze parti, e meccanismi che impediscono modifiche a bootloader o a parti sensibili del firmware senza l'esplicita richiesta da parte dell'utente.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Eress23 Novembre 2019, 11:30 #1
A sto punto qualsiasi sviluppatore android può inserire un bug, per poi far finta di scoprirlo...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^