Google premia chi scopre bug su Android (e non solo): 3,4 milioni di $ solo nel 2018

10 Febbraio 2019 128

Google ha reso noto i risultati per il 2018 del Vulnerability Reward Program, il programma che premia coloro che individuano bug “sfuggiti” agli sviluppatori di app e software dell’ecosistema Android e non solo. Lo scorso anno sono stati erogati premi per un totale di 3,4 milioni di dollari, cifra superiore rispetto ai 2,9 milioni elargiti l’anno precedente.

La metà - 1,7 milioni di dollari - è stata destinata alle ricompense per la scoperta di vulnerabilità specifiche in Android e Chrome, in crescita rispetto agli 1,1 milioni del 2017. In totale, dal 2010 (anno di nascita del programma) ad oggi l’azienda di Mountain View ha destinato più di 15 milioni di dollari alla causa.

Questi i numeri del 2018:

  • 3,4 milioni di dollari in premi
  • 1,7 milioni di dollari in premi per vulnerabilità in Android e Chrome
  • 1.319 premi totali
  • 317 ricercatori pagati
  • Ricercatori premiati provenienti da 78 Paesi
  • 41.000 dollari il premio più alto
  • 181.000 dollari donati in beneficenza

In generale, il Vulnerability Reward Program è stato istituito per “incoraggiare i ricercatori a comunicare problematiche in modo tale che possano essere corrette velocemente per tenere i dati degli utenti al sicuro”. Tra i premiati citiamo il polacco Tomasz Bojarski che ha scoperto un bug sulla sicurezza in XSS che permetteva ai malintenzionati di modificare un sito web rubando i dati e svolgendo azioni al posto dell’utente. Ebbene, i soldi ricevuti in premio sono stati utilizzati per aprire un lodge e un ristorante.

A fianco di questo programma ne esiste un secondo, denominato Privacy and Security Research Awards, destinato al mondo accademico con cui Google collabora per migliorare costantemente la sicurezza e la privacy degli utenti (e dei loro dati personali). Sono 8 i premiati dell’ultima edizione, provenienti da università di tutto il mondo, tra cui le europee Ruhr-Universität di Bochum, Cambridge e la Ecole Polytechnique Usable di Losanna.

Tre fotocamere per il massimo divertimento e un hardware eccellente? Huawei Mate 20 Pro è in offerta oggi su a 694 euro oppure da Amazon a 830 euro.

128

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Jack.IlJack
Jack.IlJack

Vai, anche se rischi di essere escluso pure la per eccesso di banalità

pollopopo

ricorda comunque che anche le altre aziende fanno lo stesso, vedi windows che sembra un Frankenstein fra il vecchio e il nuovo eccc....eccc.....

Jack.IlJack

È esattamente quello che mi fa incavolare. Sembrano seriamente bambini con un carrarmato in mano .
Loro non sanno cosa fanno, sguinzagliano cose sperando ritornino investimenti ben fatti.
Se non avessero tutti noi e chi usa i suoi prodotti farebbero pena, e non tirarmi fuori la solfa de "eh ma le stringe ecc ecc".

E sia chiaro, ho un pixel, ma mi non e possibile che Google , alphabetin generale, faccia così pena a livello aziendale

pollopopo

purtroppo, tutte le grandi aziende sono così, però va detto che le cavolate di google alcune volto sono clamorose, stanno chiudendo tutto il reparto google+ che invece a livello aziendale era comodo, hanno ben due diversi sistemi di messaggi, e due sistemi di chat video, due sistemi di player musicali uno poco supportato oramai e l'altro mezzo monco, wear os ha seri problemi di connessione con il cellulare da mesi e mesi, android auto l'ho usato ed è carino ma è decisamente migliorabile e molto limitato nelle app, android tv è carino e con un hardware decente funziona bene (non è esente da gaffe e bug comunque)....

l'unico progetto che va benino è android per i cellulari (perché tutti i produttori contribuiscono al progetto) e il motore di ricerca/algoritmi....

Jack.IlJack

Va bene, sempre bravissimo ;)

piero

ora gli scrivo: 'Android ha un bug: Android'
vinco tutto

Jack.IlJack

Va bene

ErCipolla

L'investimento in sicurezza e revisione è importante, nessuno lo nega. Il punto è che tanti dei bug usati per violare un sistema sono poco prevedibili in fase di progettazione. Spesso sono comportamenti inattesi che dipendono da una particolare combinazione di ambiente e input, o addirittura introdotti dopo la stesura del codice (tipici quelli introdotti, ad esempio, da ottimizzazioni fatte dal compilatore o dal linker). Non è così facile evitarli a priori

Lupo1

Vuol dire che manderò il cv io a colorado ok?

Ikaro

Come dicevo, tr0ll ;) vai a nanna che domani c'è l'asilo

Piereligio

Ovviamente possiamo escludere i samsung, però

Jack.IlJack
Venom®

Lasciamo perdere,con Santosss nei paraggi è sempre una bolgia,peggio di quello che è già adesso

Ikaro

Non c'è bisogno che giochi a specchio riflesso, che sei un po' bimbom1nki@ già lo sapevo
Ps:grazie per l'interessamento probabilmente hai ragione, non sono certo Jesus sceso in terra ma in questo caso perlomeno conosco le basi della discussione, sò che le multinazionali hanno già un team interno che si occupa della sicurezza, sò che si affidano anche a contratti con aziende esterne e sò che nonostante tutto qualcosa può sfuggire e capitare che qualcuno esterno a queste due entità, spesso casualmente, si accorga di qualche problema quindi offrirlo una ricompensa che si contrapponga al rivendere l'informazione a qualcuno magari meno "buono" del ricercatore è tutto di guadagnato... Se poi tu, ricercatore, decidi di vivere solo di ricompense buon per te ;)

Jack.IlJack

Chiaro. Non ho mai approfondito i commenti, leggo l'articolo basta. Solitamente qua sotto è sempre una bolgia

Venom®

Se ti sei sentito chiamato in causa e non sei Santosss chiedo scusa,ma visto che dici che hai sempre letto dovresti sapere perlomeno chi sia,è un po' un controsenso,scusa se te lo dico...
In ogni caso,è il clonatore del blog,copia avatar e nome degli utenti commentando con stupidaggini come se fosse la persona in questione,ma viene sgamato sempre perchè crea in continuazione profili che vengono poi bannati(difatti hanno sempre pochi commenti e pochissimi like)
Ora ha 2 profili attivi se non di più,e con uno ha le mie "sembianze"
Spero di aver chiarito la questione

Jack.IlJack

Non so nei dettagli e tutti i più oscuri processi, ma un'infarinatura la ho. Tuttavia ritengo che la spesa per queste tipologia di "revisione" sia sempre troppo bassa con un affidamento al bounty che sinceramente mi fa un po' schifo. Assumi di più, progetta e pianifica meglio certe cose. Certo, ti costerà di più, ma non dovrai più ricorrere al ridicolo bounty

Jack.IlJack

Chi l'è santosssss!? Semplicemente ho sempre letto, mo commento pure perché su certe cose non si può rimanere zitti a leggere

Jack.IlJack

Fortuna che sono io il saccente ;) e fortuna che non ci sei tu a spiegarmi ;) ah guarda a me interessa perché nonostante una posizione alcuni si sono riusciti a spiegare benissimo. Te rimani pure nella tua saccente ignoranza

Jack.IlJack

Che siano assurdità non sta nè a te nè agli altri decidere tranquillo;) vedo che le sai fare bene le battute ;) ridurre il pensiero di una persona ad un "manca il CV a Google" ti rende degno di Colorado ;)

Venom®

Dalle 3 esse in su va sempre bene XD
L'account è fresco,con pochi commenti,potrebbe essere lui
PS occhio che si aggira da ieri come mio clone,se vedi commenti deliranti non sono io

artick82

Quotidiano è di sicuro... Anche il "fatto" credo sia vero.

makeka94

Sono molto perplesso riguardo la tua affermazione.

makeka94

In realtà grazie alla divisione TV e in generale ai dispositivi per la casa LG va alla grandissima.

Salvatore Esposito

credo sia Santosssss (non so quante s) ma attendo gente più qualificata in "becca il Santosssss"

daniele

Da usare nel loro store online XD

rasty++

apro le pagine del fatto quotidiano :D

FravZone
Ikaro

No solo perché sei offensivo, ignorante e saccente se ti ponessi con un atteggiamento meno provocatorio magari sarei più propenso a spiegarti perché stai dicendo una marea di fregnacce ma la verità è che non te ne frega un chezzo...

Lupo1

Appunto che so leggere, stai scrivendo assurdità, te l'hanno fatto notare anche altri, vai pure avanti.

vince

Le basi della nuova sicurezza informatica.
Ma qui sul blog invece pensano alla vecchia maniera.

Jack.IlJack

Perche sono contrario ad una pratica che secondo me è sbagliata? Se lo dici tu

rasty++

io pixel 2 xl.. segnalo un bug! l unico che mi sta seguendo da quando l ho comprato... quando si chiude una pagina in incognito di chrome rimane la notifica e per rimuoverla bisogna abbassare 2 volte la tendina.. datemi i soldi ora...

Spregevole

C'è chi premia chi scopre i bug, e c'è chi li banna dai loro server....

alex

Esatto, la mancanza di funzionalità e il basso share lo rendono poco appetibile. Mi pare di averlo scritto nel commento precedente, il fatto di poter installare app fuori dallo store su Android è molto semplice, quindi basta far leva sull'anello debole, ovvero l'utente, e si "entra" più facilmente con del software infetto.

alex

Non hai minimamente letto cosa c'è scritto nel commento, ottimo.

_GV_

Grazie amico ho imparato molto da questa tua risposta....

Max
ErCipolla

È evidente che non hai la minima idea di come funziona il reverse engineering. Anche il miglior team dedicato non troverà mai tutte le falle, sono troppo "imprevedibili" e spesso si scoprono dopo mesi o anni dall'uscita del software, spesso per caso. Quella del bounty è una soluzione molto più efficace

Ikaro

Quindi stai tr0llando, capito...

Babi
Jack.IlJack

Penso che se tu sappia scrivere sappia anche leggere, poi se non capisci la non posso farci nulla :)

Jack.IlJack

Che assumano più gente ed organizzino meglio la cosa. Immagino, 1 su quanti? Mi potresti portare qualche esempio di persona che campa bene con quei soldi?

Ansem The Seeker Of Darkness

Concordo pienamento con il tuo discorso, ma aggiungo un paio di cose:
1) iOs in america ha quasi il 50% dello share, quindi se il malware punta all'america e europa ha senso farlo per iOs
2) Su iOs oltre a non poter installare app dallo store le app stesse possono fare molte meno cose, e di conseguenza è più difficile ottenere permessi elevati.

In entrambi i casi non è iOs ad essere sicuro, sono la sua mancanza di funzionalità e il suo basso share a renderlo "sicuro"

Lupo1

Ma che problemi hai??

Beard

Esistono team di ricerca, semplicemente anche a loro può sfuggire qualcosa.
Le assunzioni non sono necessarie, c'è gente che vive (anche bene) solo con le bounty

Jack.IlJack

Curriculum fino a la. Vorrei vedere il dato delle assunzioni. Diffuso in tutto il mondo non vuol dire equo e giusto. Se ti poni a leader mondale è giusto che ti comporti come tale. Per risparmiare milioni (mentre fatturi miliardi) ti comporti da aziendina che cresce solo perché il mercato è in crescita esponenziale (come microsoft, aziendina è ed aziendina è rimasta prendendo cantonate importanti).

Riuscire ad investire in una divisione di ricerca che assume chi fa un buon lavoro del genere ma che paga a ore chi cerca bug per poi assumerli definitivamente mi sa da pianificazione . Questo mi dà dalla solita azienda hi-tech gestita da ragazzini con miliardi

Jack.IlJack

Quindi se la fanno tutti diventa giusta? Ma pensa prima di scrivere va

Beard

Spendendo 4 volte tanto? E perché mai? Sia i ricercatori che fanno migliaia di dollari per ogni cve scovata sia le aziende che risparmiano milioni l'anno ci guadagnano. Oltretutto scoprire cve grosse fa a anche curriculum.

Cosa ti disturba di questo modus operandi diffusissimo ovunque nel mondo it?

Samsung Galaxy S10 Plus (4.100mAh): live batteria dalle 8.00

Samsung Galaxy S10 series: le differenze nella VIDEO ANTEPRIMA

Galaxy Fold ufficiale: inizia l'era degli smartphone-tablet pieghevoli | VIDEO

Xiaomi Mi 9 ufficiale: bello e potente | Prezzi Cina