Google ha deciso di aumentare la ricompensa per chi sarà in grado di trovare bug in Chrome. Ecco la notizia.

Google ha recentemente annunciato una significativa revisione del suo Vulnerability Reward Program (VRP) per Google Chrome, con un forte incremento delle ricompense offerte per le segnalazioni di falle di sicurezza. Questa iniziativa mira a incentivare i ricercatori a condurre analisi più approfondite e a presentare report di alta qualità riguardo a possibili vulnerabilità del popolare browser.

L’ingegnere della sicurezza di Chrome, Amy Ressler, ha sottolineato che era necessario un aggiornamento della struttura del programma per rendere più chiare le aspettative dei ricercatori e promuovere indagini più dettagliate. La revisione più significativa riguarda l’aumento dell’importo massimo delle ricompense, che ora può raggiungere i 250.000 dollari per una singola vulnerabilità. In particolare, se un bug in Chrome permette l’esecuzione di codice da remoto (RCE) in un processo non sandbox senza compromettere il renderer del browser, la ricompensa potrebbe superare questa cifra.

Il nuovo schema di ricompense è strutturato su una classificazione dettagliata delle vulnerabilità. I report che dimostrano l’esecuzione di codice remoto con un exploit funzionale sono quelli più premiati. Inoltre, Google ha introdotto una categorizzazione più precisa delle altre vulnerabilità, basata su fattori come la qualità del report, l’impatto potenziale e il danno per gli utenti. Le categorie variano da “impatto inferiore” a “impatto elevato”, con premi differenziati in base alla gravità della falla segnalata.

Particolare attenzione è stata data ai bypass di MiraclePtr, una tecnologia di sicurezza implementata in Chrome. Le ricompense per la scoperta di tali vulnerabilità sono state notevolmente aumentate, passando da 100.115 a 250.128 dollari, a dimostrazione dell’importanza che Google attribuisce alla sicurezza del suo browser.

Tuttavia, non tutte le segnalazioni saranno premiate. Google ha chiarito che solo i report che dimostrano un impatto concreto sulla sicurezza o che evidenziano un potenziale danno per l’utente potranno ricevere una ricompensa. I report basati su ipotesi teoriche o problemi speculativi non saranno considerati.

Questa revisione del VRP di Chrome si inserisce in una serie di modifiche più ampie nei programmi di sicurezza di Google. L’azienda ha recentemente chiuso il Play Security Reward Program (GPSRP) per nuove segnalazioni, mentre ha lanciato il programma kvmCTF, focalizzato sulla sicurezza dell’hypervisor Kernel-based Virtual Machine (KVM).

Dal 2010, il Vulnerability Reward Program di Google ha distribuito oltre 50 milioni di dollari in ricompense e ha ricevuto più di 15.000 segnalazioni di vulnerabilità, contribuendo a rendere Chrome uno dei browser più sicuri al mondo.

Scritto da Michele Bellotti