Google Alza la Posta: 250.000 Dollari per chi Scova Bug in Chrome

Google Alza la Posta: 250.000 Dollari per chi Scova Bug in Chrome

Google Potenzia le Ricompense del Programma VRP per Chrome: Più Incentivi per i Ricercatori di Sicurezza

Google ha recentemente fatto un importante annuncio riguardo al suo Vulnerability Reward Program (VRP) specificamente per il browser Google Chrome. In un tentativo di stimolare ricerche più dettagliate e di alta qualità, la compagnia ha deciso di aumentare significativamente le ricompense finanziarie per chi scopre falle di sicurezza nel suo browser. Attraverso questa mossa, Google mira a rafforzare la sicurezza del browser più utilizzato al mondo, invogliando gli esperti a condurre analisi più approfondite e a condividere scoperte critiche.

L’ingegnere della sicurezza di Chrome, Amy Ressler, ha sottolineato l’importanza di evolvere il programma per fare fronte alle minacce emergenti, offrendo agli esperti di sicurezza incentivi più chiari e maggiori possibilità di ricevere ricompense sostanziose. Infatti, la modifica più eclatante è l’aumento dell’importo massimo della ricompensa, che ora può toccare la cifra di 250.000 dollari per una singola segnalazione di vulnerabilità critica.

Le nuove tariffe di ricompensa sono stabilite in base a una scala di gravità dettagliata delle vulnerabilità. In cima a questa classificazione ci sono quelle segnalazioni che dimostrano un’execuzione di codice remoto (Remote Code Execution, RCE) attraverso un exploit funzionale. In particolare, se l’azione nefasta avviene fuori dall’ambito sandbox e non intacca il renderer di Chrome, si possono ottenere premi ancora maggiori.

Google ha anche introdotto una categorizzazione più meticolosa per le altre classi di vulnerabilità, prendendo in considerazione fattori come la qualità del report, l’impatto potenziale e i danni agli utenti di Chrome. Le classificazioni variano da un “impatto inferiore” a un “impato elevato”, a seconda della gravità e del danno che le vulnerabilità possono causare.

Un particolare focus è stato dato ai bypass di MiraclePtr, una tecnologia chiave per la sicurezza di Chrome. Le ricompense per individuare fallacie in questa tecnologia sono state significativamente incrementate, passando da 100.115 a 250.128 dollari.

Ressler ha ricordato che ogni report che include dettagli applicabili rimane idoneo per premi bonus. Inoltre, Google ha in programma di continuare a testare nuove categorie di premi per rimanere al passo con le evoluzioni del settore della sicurezza informatica.

Tuttavia, è da notare che non ogni segnalazione sarà necessariamente premiata. I report che non dimostrano un reale impatto sulla sicurezza o che trattano solo di problemi teorici o speculativi, difficilmente riceveranno compensi.

Nel quadro più ampio della politica di sicurezza di Google, queste aggiunte al VRP di Chrome si accompagnano alla chiusura di altri programmi come il Play Security Reward Program (GPSRP) e all’introduzione del nuovo kvmCTF, entrambi incentrati su aree tecniche specifiche della sicurezza informatica.

Dal suo lancio nel 2010, il Vulnerability Reward Program di Google ha distribuito oltre 50 milioni di dollari e ha raccolto report di più di 15.000 vulnerabilità, dimostrando l’efficacia di questi incentivi nel miglioramento continuo della sicurezza informatica.

Conclusione

Con questa revisione del Vulnerability Reward Program, Google non solo rafforza la sicurezza del proprio browser, ma offre anche un forte incentivo agli analisti di sicurezza per spingersi oltre nelle loro ricerche. Il generoso aumento delle ricompense rispecchia l’importanza che Google assegna alla collaborazione con la comunità di esperti per mantenere il web un luogo sicuro per tutti. In un’era digitalizzata dove le minacce sono in costante evoluzione, iniziative come queste sono fondamentali per cercare di anticipare gli attacchi, garantendo così una navigazione sicura e protetta a milioni di utenti.

Cyber Net Now

Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.

CATEGORIES
Share This