Google ha attivato il programma Google Play Security Reward Program in collaborazione con la piattaforma indipendente HackerOne attraverso cui va ad offrire ricompense economiche a chi riesce a trovare falle di sicurezza nelle popolari applicazioni Android presenti nel Google Play Store e che sono iscritte al programma. I ricercatori saranno pagati in base all’importanza delle vulnerabilità trovate, anche fino a 1000 dollari.
Al lancio del programma, le applicazioni parte del Google Play Security Reward includono Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat e Tinder. Nei prossimi mesi più applicazioni saranno incluse, dando cosi’ maggiori possibilità agli interessati di ricevere il premio in denaro.
L’obiettivo del programma è quello di migliorare ulteriormente la sicurezza delle applicazioni Android e dell’intero ecosistema Google Play.
"Mentre evolve l’ecosistema Android, continuiamo ad investire in idee all’avanguardia per rafforzare la sicurezza", ha dichiarato Vineet Buch, direttore del Product Management di Google Play. "Il nostro obiettivo è continuare a rendere Android una piattaforma sicura, incoraggiando i nostri sviluppatori di applicazioni e hacker a lavorare insieme per risolvere vulnerabilità sconosciute".
Come funziona il Google Play Security Reward Program per app Android
Il Google Play Security Reward Program per le applicazioni Android funziona in maniera semplice. Google invita gli hacker (in buona fede, ossia coloro che cercano bug per segnalarle allo sviluppatore, non per sfruttarle a proprio vantaggio) ad identificare vulnerabilità in un’applicazione tra quelle che fanno parte del programma e segnalarle direttamente allo sviluppatore dell’applicazione tramite il processo di rilevazione di vulnerabilità messo a loro disposizione. Lo sviluppatore di applicazioni collabora a questo punto con l’hacker per risolvere la vulnerabilità che ha trovato. Una volta che la vulnerabilità è stata risolta, l’hacker richiede una ricompensa tramite il programma Google Play Security Reward di Google Play. A questo punto, il team di Android Security puo’ rilasciare un’ulteriore ricompensa all’hacker come forma di ringraziamento per aver contribuito a migliorare la sicurezza nell’ambito dell’ecosistema di Google Play.
Regole del Google Play Security Reward Program
Ci sono delle regole che devono essere rispettate per partecipare al programma e ricevere i la ricompensa in denaro.
Stando alle linee guida del Security Reward Program di Google Play, riservato solo per richiedere bonus dopo che la vulnerabilità originale è stata risolta con lo sviluppatore dell’app, tutte le vulnerabilità trovate devono sempre essere segnalate direttamente allo sviluppatore dell’applicazione.
Google invita a far parte del programma solo gli sviluppatori che hanno espresso l’impegno a risolvere i bug che vengono divulgati, ed è responsabilità di ogni sviluppatore rispondere alle segnalazioni e risolvere i bug in modo tempestivo.
Quando si verificano duplicazioni, ossia piu’ hacker segnalano la presenza di una stessa vulnerabilità, viene preso in considerazione solo il primo rapporto ricevuto (a condizione che possa essere riprodotto completamente).
Con l’obiettivo di essere "giusti", tutti gli importi delle ricompense sono a discrezione del team che si occupa della sicurezza della piattaforma Android (il team di Android Security).
Google ha dettato anche quelli che sono i "criteri di vulnerabilità" vale a dire ha spiegato quali sono le vulnerabilità accettabili per rientrare nel programma e provare ad avere una ricompensa.
Inizialmente, l’ambito di questo programma è limitato alle vulnerabilità RCE (esecuzione a codice remoto) e POCs (Proof of Concepts) che funzionano su dispositivi Android 4.4 e versioni successive. Questo si traduce in qualsiasi vulnerabilità RCE che consentono ad un malintenzionato di eseguire del codice malevolo sul dispositivo degli utenti vittime a loro insaputa o senza autorizzazione. Ad esempio, Google accetta le vulnerabilità che permettono ad un attaccante di ottenere il controllo completo del dispositivo senza che la vittima lo sappia, il che significa che del codice esterno al dispositivo può essere scaricato dalla rete ed eseguito.