Google spende pochissimo per trovare i bug di Android e Chrome
Big G investe nella sicurezza di Android, Chrome e i suoi prodotti pagando chi trova bug e vulnerabilità, ma la cifra che paga è una goccia nell'oceano del suo bilancio
Nonostante i team dedicati allo sviluppo di Android, Chrome e altri prodotti di Google, siano impegnati a creare codice sicuro e senza bug per gli utenti, non è impossibile che alcuni di questi bug e vulnerabilità sfuggano agli sviluppatori. È infatti cronaca di tutti i giorni che qualche software house che si concentra sulla sicurezza, sveli vulnerabilità e problemi vari dei prodotti di Big G che non erano stati previsti in fase di progettazione del codice (le cosiddette vulnerabilità “zero-day“).
Per ovviare a questi problemi, Google ha lanciato i Vulnerability Rewards Programs (VRP), degli incentivi economici che hanno come scopo quello di invogliare i ricercatori di sicurezza indipendenti a trovare bug e problemi nei vari prodotti che Big ha sul mercato, riconoscendogli una ricompensa in denaro. Ricompense che continuano a cresce di anno in anno, ma che rappresentano ancora percentuali irrilevanti nel bilancio globale di Google.
Google paga altri per trovare i bug
Nell’anno passato Google ha pagato 4,8 milioni di dollari ai ricercatori di sicurezza che hanno scovato vulnerabilità in Android. Il 2022 ha registrato anche il più alto compenso di sempre a un ricercatore da quando sono attivi i VRP, ovvero Google ha pagato 605 mila dollari a uno di questi che, non osiamo immaginare cosa, ha trovato evidentemente una grave falla in Android.
Il programma dedicato a Chrome è costato a Google altri 4 milioni di dollari, di cui 500 mila dollari sono stati pagati per falle trovate in Chrome OS. In totale Big G ha pagato per tutti i suoi programmi destinati al rilevamento di bug 12 milioni di dollari, che sono stati destinati anche al suo nuovo VPR Open Source, che da come si evince dal nome, premia coloro che trovano problemi nei servizi open source sviluppati a Mountain View.
Nel 2021, Google aveva pagato 8,1 milioni di dollari, quindi i costi sono aumentati di quasi 4 milioni di dollari anno su anno, praticamente +50%. L’aumento è in parte dovuto al lancio di nuovi prodotti che Big G ha effettuato durante l’anno 2022, tra cu i dispositivi FitBit e Google Nest e, soprattutto, al lancio del già citato VPR Open Source.
E’ evidente che 12 milioni di dollari sono tanti, ma non per una big tech del livello di Google, che nel 2022 ha registrato entrate per 280 miliardi di dollari.
Google rafforza il firmware
Se la cifra pagata per i vari programmi VRP è comunque contenuta, molto lo si deve anche agli sviluppatori interni di Google, che sanno come blindare al meglio prodotti, servizi e sistemi operativi. Ricercatori Google che, ultimamente, stanno spostando le loro attenzioni sulla sicurezza del firmware di chip e controller, cioè dell’elettronica che comunica col sistema operativo.
Questo per “scendere di livello” salendo nella sicurezza: inutile avere un sistema operativo sicurissimo se poi, ancor prima che si carichi, un malware che si è annidato nel firmware di qualche chip è già entrato in azione.
In un recente annuncio Google ha infatti rivelato che sta utilizzando antivirus basati su compilatori come BoundSan e IntSan per evitare che i malintenzionati utilizzino il firmware per attaccare gli smartphone e i tablet con sistema operativo Android. Siamo quindi entrati in una nuova era della sicurezza informatica e il lavoro è appena iniziato.
