Google ha svelato interessanti statistiche dei Vulnerability Reward Programs (VRPs) relative al 2022. Grazie alla collaborazione dei ricercatori di sicurezza, l’azienda di Mountain View ha risolto oltre 2.900 bug in Android, Chrome e dispositivi. In totale ha pagato premi per oltre 12 milioni di dollari a 703 ricercatori di 68 paesi.
Record di 605.000 dollari per Android
Come si può vedere nel grafico pubblicato da Google, nel 2022 sono stati consegnati premi per 12 milioni di dollari, ovvero 3,3 milioni in più rispetto al 2021. Questo dato può essere interpretato in vari modi: numero maggiore di vulnerabilità, singole vulnerabilità più gravi o più ricercatori coinvolti nel programma. Il record appartiene ad Android con 4,8 milioni di dollari e un singolo premio da 605.000 dollari.
La somma è stata consegnata al ricercatore gzobqq che ha scoperto un exploit che sfrutta cinque bug nel sistema operativo mobile (per questo tipo di “exploit a catena” è previsto un premio fino a un milione di dollari). Aman Pandey di Bugsmirror è uno dei ricercatori più attivi con oltre 200 vulnerabilità rilevate nel 2022 (oltre 500 dal 2019 ad oggi).
In Chrome e ChromeOS sono state scoperte oltre 470 vulnerabilità e pagati premi per 4 milioni di dollari. Google ha inoltre avviato un Android Chipset Security Reward Program (ACSRP) riservato solo ai produttori di chipset Android e un Open Source Software Vulnerability Reward Program per premiare i ricercatori che trovano bug nei progetti open source. Tutti i programmi in corso e le rispettive regole di partecipazione sono disponibili sul sito Bug Hunters.