Google ha premiato i ricercatori di sicurezza con 10 milioni di dollari nel 2023 per aver segnalato bug e vulnerabilità nei suoi software. Android e Chrome hanno ricevuto la maggior parte dei premi, con un aumento del pagamento massimo per le vulnerabilità critiche. L’azienda ha anche incluso Wear OS nel programma e si prepara ad affrontare le sfide di sicurezza dell’IA generativa.
Più il software diventa complicato, più è probabile che presenti bug o falle di sicurezza. Google e molte altre aziende lo riconoscono e vogliono incentivare gli hacker e i ricercatori di sicurezza a trovare e segnalare i problemi. È qui che entra in gioco il Vulnerability Rewards Program (VRP) di Google. L’anno scorso l’azienda ha versato un totale di 10 milioni di dollari ai ricercatori che hanno segnalato problemi con il software di Google in tutto il mondo.
Per quanto riguarda Android e i propri dispositivi Google, l’azienda ha versato 3,4 milioni di dollari. Per quanto riguarda le vulnerabilità critiche, Google ha aumentato il pagamento massimo fino a 15.000 dollari in questa categoria. L’azienda ha inoltre finalmente aggiunto Wear OS al programma, consentendo ai ricercatori di sicurezza di segnalare bug e vulnerabilità nella piattaforma indossabile di Google. Allo stesso tempo, l’azienda aumenta il pagamento per le segnalazioni di migliore qualità, il che porta i ricercatori a concentrarsi su problemi di maggiore gravità. Questo potrebbe anche essere il motivo per cui Google ha pagato meno in totale nel 2023 rispetto all’anno precedente.
Android non è però l’unico grande progetto di Google e i ricercatori di Google Chrome hanno ricevuto una parte del pagamento: 2,1 milioni di dollari per 359 segnalazioni uniche. Tra queste, alcuni problemi di vecchia data con la codifica V8 che in precedenza erano sfuggiti al controllo. Google ha anche lavorato su alcuni miglioramenti di sicurezza necessari per il browser, come il lancio di funzioni che impediscono il funzionamento della maggior parte dei bug di sicurezza della memoria.
Un’aggiunta logica al VRP che arriverà nel 2023 è l’IA generativa. Google ha organizzato un evento di hacking per colpire i modelli linguistici di grandi dimensioni, con i ricercatori che hanno cercato di iniettare prompt per far sì che Google Gemini riveli segreti che non dovrebbe rivelare. Google ha evidenziato due progetti di spicco, tra cui “Hacking Google Bard – From Prompt Injection to Data Exfiltration” e “We Hacked Google A.I. for $50,000“.
Il resto dell’importo del premio 2023 è distribuito su altri progetti. Poiché l’intelligenza artificiale e altri strumenti sono in continua evoluzione, Google non vede la fine del VRP. In futuro, l’azienda vuole essere ancora più all’avanguardia con i suoi programmi di sicurezza. Dato che nel 2023 sono state apportate diverse modifiche al VRP, possiamo aspettarci sviluppi simili man mano che ci avviciniamo al 2024.