Google alza le ricompense: fino a 450.000 dollari
Da cercatori di bug a cercatori d'oro è un attimo, grazie alle nuove ricompense di Google per i Bug Hunter più talentuosi, che ora possono guadagnare davvero tantissimo
A pochi giorni dall’evento Google I/O 2024, durante il quale Google presenterà agli sviluppatori le nuove versioni dei suoi sistemi operativi per smartphone (Android 15), smartwatch (Wear OS 5) e Smart TV (Android TV 14), è arrivata una notizia che farà molto piacere a tutti coloro che, di mestiere, cercano e trovano bug di sicurezza nei software altrui.
Cioè ai cosiddetti “Bug Hunter“, i cacciatori di bug che, con le nuove ricompense annunciate da Google, potrebbero presto trasformarsi in veri e propri cercatori d’oro. Per i loro successi, infatti, ora possono ricevere ricompense a sei cifre.
300.000 dollari per un bug
Con le nuove ricompense il lavoro del Bug Hunter potrebbe diventare davvero redditizio, perché la cifra massima che si può guadagnare per un bug sale a ben 300.000 dollari. Per bug particolarmente difficili da scovare, o molto pericolosi, in casi eccezionali si può arrivare addirittura a guadagnare 450.000 dollari in un colpo solo.
Tutto dipende, però, dal tipo di vulnerabilità scoperta e da quanto è potenzialmente dannosa: le cifre maggiori, infatti, si ottengono scoprendo bug che un hacker potrebbe sfruttare anche senza l’intervento dell’utente (le cosiddette vulnerabilità “zero click“). Inoltre, la vulnerabilità deve permettere all’hacker di eseguire codice sul dispositivo Android dell’utente.
Se la vulnerabilità può essere sfruttata solo dopo il click su un link, se porta al semplice furto di dati senza esecuzione di codice malevolo, se viene attivata solo in caso di configurazioni particolari del telefono o solo se l’attaccante è sulla stessa rete wireless della vittima, in tutti questi casi la ricompensa è via via minore.
L’AI per combattere i virus
Su Libero Tecnologia non passa un mese senza che vi raccontiamo dell’ennesima app infetta trovata sul Play Store da una società di cyber security o da un ricercatore indipendente, perché Google ha un problema serio: non riesce a star dietro a tutti i tentativi di pubblicare app pericolose.
Big G ha diversi sistemi automatizzati per la scansione del codice delle app Android, in cerca di tracce di qualcosa di pericoloso, ma evidentemente non bastano e le app passano lo stesso i controlli.
L’ultimo tentativo di Google di rincorrere i cybercriminali sfrutta, manco a dirlo, l’intelligenza artificiale. A Mountain View hanno infatti deciso di usare anche Gemini 1.5 Pro (l’ultimo modello di AI sviluppato in casa da Google) per scandagliare i meandri del codice delle app in fase di pubblicazione, in cerca di potenziali pericoli.
Gemini AI ha la capacità di scrivere codice per le app, ma anche di leggero e di “fare finta di eseguirlo“. In questo modo può processare miliardi di informazioni in cerca, ad esempio, dei comandi per scaricare un malware nascosti all’interno di un’app che sembra sicura.
