Google aggiorna il Vulnerability Reward Program

Google aggiorna il Vulnerability Reward Program

Google ha chiesto ai ricercatori di fornire report più dettagliati sulle vulnerabilità, in modo da ricevere un premio aggiuntivo fino a 15.000 dollari.
Google aggiorna il Vulnerability Reward Program
Google ha chiesto ai ricercatori di fornire report più dettagliati sulle vulnerabilità, in modo da ricevere un premio aggiuntivo fino a 15.000 dollari.

Google ha annunciato importanti novità per il Vulnerability Reward Program, l’iniziativa che consente ai ricercatori di segnalare eventuali vulnerabilità presenti in Android e nei dispositivi. L’azienda di Mountain View ha introdotto un nuovo sistema di classificazione (rating) che indica il livello di dettagli sulla vulnerabilità. I premi verranno quindi incrementati fino a 15.000 dollari.

Più soldi per report dettagliati

Il Vulnerability Reward Program prevede una serie di premi in denaro di importo variabile per la segnalazione di vulnerabilità (aggiramento delle protezioni, furto di dati ed esecuzione di codice) presenti su Android e i dispositivi Pixel, Nest e Fitbit. Per spingere i ricercatori a scrivere report più dettagliati è prevista una somma aggiuntiva in base alla loro qualità (bassa, media e alta).

I ricercatori che scrivono un report molto dettagliato su vulnerabilità gravi possono aumentare il guadagno fino a 15.000 dollari. Google ha spiegato come dovrebbe essere segnalata una vulnerabilità. Innanzitutto, la descrizione deve comprendere il nome del dispositivo e la versione di Android. È necessario inoltre specificare la causa del problema e includere un proof-of-concept che dimostra lo sfruttamento del bug.

Deve anche essere inclusa una spiegazione passo-passo su come verificare l’esistenza della vulnerabilità (riproducibilità), in modo da velocizzare il rilascio del fix. Google avvisa infine che non assegnerà più un numero CVE (Common Vulnerabilities and Exposure) alle vulnerabilità con gravità moderata, ma solo a quelle con gravità critica e alta. Le regole del programma possono variare in futuro.

Fonte: Google
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 19 mag 2023
Link copiato negli appunti