Google ha annunciato importanti novità per il Vulnerability Reward Program, l’iniziativa che consente ai ricercatori di segnalare eventuali vulnerabilità presenti in Android e nei dispositivi. L’azienda di Mountain View ha introdotto un nuovo sistema di classificazione (rating) che indica il livello di dettagli sulla vulnerabilità. I premi verranno quindi incrementati fino a 15.000 dollari.
Più soldi per report dettagliati
Il Vulnerability Reward Program prevede una serie di premi in denaro di importo variabile per la segnalazione di vulnerabilità (aggiramento delle protezioni, furto di dati ed esecuzione di codice) presenti su Android e i dispositivi Pixel, Nest e Fitbit. Per spingere i ricercatori a scrivere report più dettagliati è prevista una somma aggiuntiva in base alla loro qualità (bassa, media e alta).
I ricercatori che scrivono un report molto dettagliato su vulnerabilità gravi possono aumentare il guadagno fino a 15.000 dollari. Google ha spiegato come dovrebbe essere segnalata una vulnerabilità. Innanzitutto, la descrizione deve comprendere il nome del dispositivo e la versione di Android. È necessario inoltre specificare la causa del problema e includere un proof-of-concept che dimostra lo sfruttamento del bug.
Deve anche essere inclusa una spiegazione passo-passo su come verificare l’esistenza della vulnerabilità (riproducibilità), in modo da velocizzare il rilascio del fix. Google avvisa infine che non assegnerà più un numero CVE (Common Vulnerabilities and Exposure) alle vulnerabilità con gravità moderata, ma solo a quelle con gravità critica e alta. Le regole del programma possono variare in futuro.