Nel 2020, Google ha pagato oltre 6,7 milioni di dollari ai ricercatori di sicurezza di tutto il mondo per aver segnalato vulnerabilità di sicurezza nei prodotti Google.
Google ha sborsato la cifra record di 6,7 milioni di dollari in premi bug bounty nel 2020, battendo il record dell’anno scorso quando la società pagò 6,5 milioni di dollari per la stessa causa, ha rivelato il colosso della ricerca in un post sul blog. La ricompensa più alta è stata di 132.500 dollari, con 662 ricercatori di sicurezza pagati in 62 paesi.
Il Vulnerability Reward Program (VRP) di Google, che va avanti ormai da un decennio, si estende a più prodotti Google, tra cui Android, Chrome e Google Play. Il programma premia gli hacker amichevoli, ovvero i ricercatori in materia di sicurezza, che scoprono e segnalano gravi falle di sicurezza nei prodotti Google prima che possano essere sfruttate o raggiunte dagli utenti generali.
Il duro lavoro, la dedizione e la competenza dei nostri ricercatori nel 2020 hanno portato a un pagamento record di oltre 6,7 milioni di dollari in premi, con ulteriori 280.000 dollari donati in beneficenza
Nell'Android Vulnerability Reward Program, Google ha pagato 1,7 milioni di dollari solo con 13 exploit funzionanti, che rappresentano 1 milione di dollari in pagamenti di ricompense per exploit. Tra i degni di nota c'erano 11 segnalazioni sull'anteprima per sviluppatori di Android 11 e un exploit di rooting remoto con 1 clic rivolto ai moderni dispositivi Android, presentato da Guang Gong e dal suo team presso Alpha Lab, Qihoo 360 Technology co. Ltd.
Google afferma di aver anche lanciato diversi programmi pilota di premi per incoraggiare i ricercatori a esplorarne altri aree dell'ecosistema Android, come il sistema operativo Android Auto, la scrittura di fuzzer per il codice Android e Android chipset.
I pagamenti VRP di Chrome sono aumentati dell'83% rispetto al 2019, con premi in denaro di 2,1 milioni di dollari distribuiti ai ricercatori su 300 bug nel 2020. Nel frattempo, il Programma di premi per la sicurezza di Google Play e il Programma di protezione dei dati degli sviluppatori hanno pagato oltre 270.000 dollari ai ricercatori. Google afferma che anche le app di tracciamento del COVID-19 e le app che si basano sull'API di notifica dell'esposizione sono state qualificate per partecipare al programma quest'anno. Google ha inoltre aumentato la ricompensa massima per le vulnerabilità qualificate a 20.000 dollari.
Oltre ai premi in denaro, Google ha distribuito 400.000 dollari in sovvenzioni a più di 180 ricercatori nel campo della sicurezza. Oltre a Google, includono anche altre importanti aziende tecnologiche che gestiscono programmi simili di bug bounty Qualcomm, Facebook, OnePlus, Microsoft, Reddit e Mozilla.