In tempi recenti, il team di sicurezza Google è stato costantemente impegnato con nuovi casi e nuove segnalazioni Android vertenti su pericolose vulnerabilità specifiche di sistema pregiudizievoli di un corretto utilizzo in sicurezza delle piattaforme.
Pericolosi malware del calibro di BankBot e minacce dalla portata decisamente rilevante hanno portato Google a formulare alcune attente osservazioni interne che hanno portato all’affiancamento diretto di alcuni nuovi strumenti come Google Advanced Protection da utilizzarsi al preciso scopo di incrementare il margine di sicurezza e riservatezza sui dati contenuti all’interno dei dispositivi Android, ora sempre più al centro dell’attenzione dei malintenzionati di turno.
Il Google Play Security Reward Program risponde di fatto a nome di un nuovo sistema che incentiva la ricerca attiva delle falle di sicurezza nel contesto degli OS Android. Questo nuovo programma, espressamente indirizzato agli hacker etici ed a tutti gli esperti ricercatori in sicurezza, garantisce un corrispettivo in caso di identificazione positiva delle minacce. Si parla di una ricompensa di $1.000 per ogni bug segnalato all’attenzione del team di sviluppo.
L’obiettivo è chiaramente quello di intervenire per tempo allo scopo di scovare in anticipo eventuali problemi applicativi di sicurezza. La società di Mountain View le sta tentando proprio tutte per portare avanti i suoi buoni propositi per un ecosistema più sicuro, e questo è certamente un ottimo incentivo al proseguo del nobile intento.
Nello specifico, Google riferisce di essere intenzionata a premiare tutti coloro che si renderanno in grado di segnalare eventuali deficit di programmazione che consentano di prendere il controllo remoto dei device o inoltrare attacchi mirati al phishing o alla sottrazione dei dati bancari con successivo trasferimento automatico di fondi non espressamente autorizzati.
Il programma, allo stato attuale, si rende attivo a circuito chiuso per un numero esiguo di sviluppatori che sono scesi a patti con Google sulla base di un accordo di collaborazione che dedichi loro maggiori risorse e tempo per il perseguimento degli obiettivi di sicurezza.
Google, in particolare, afferma che: “Solo gli sviluppatori che hanno preso l’impegno di sistemare i bug che vengono loro segnalati sono stati invitati a far parte del programma. Sarà lo sviluppatore ad assumersi la responsabilità di rispondere alle segnalazioni e di sistemare i problemi in tempi ridotti”
Nel momento in cui un hacker trova una vulnerabilità, questi è necessariamente tenuto a produrre una dimostrazione pratica dell’attacco e della vulnerabilità producendo una o più proof of concept che seguitano la segnalazione iniziale del problema.
Una volta risolto l’iter previsto da Google e dopo essere giunti ad una soluzione di tacito accordo con l’hacker, la compagnia si impegnerà a versare il corrispettivo pattuito. Il campo di applicazione delle manovre correttive di sicurezza abbraccia un parco decisamente ampio di soluzioni software. Si parte dalle distribuzioni Android 4.4 kitkat fino a giungere alle ultime release build Android 8.1 Oreo.
Incluse nel contesto del programma vi sono anche le potenziali segnalazioni ai problemi riscontrati nell’utilizzo dei servizi Google Play. Come segnalato al momento dalle fonti, i partner accreditati e di fatto parte attiva del progetto contano sul supporto a nomi altisonanti del panorama Hi-Tech & Mobile e, tra questi, spiccano in primo piano Alibaba, Dropbox, Line, Snapchat e Tinder.
Un resoconto più esaustivo sui termini del progetto e le condizioni complete di utilizzo si rendono disponibili all’interno del thread dedicato sul portale Hacker One, partner diretto del colosso di Mountain View per questa nuova iniziativa.
Tu che cosa ne pensi dell’applicabilità di queste nuove contromisure potenzialmente risolutive dei problemi di sicurezza? Siamo sicuri che l’unione, in questo caso, faccia la forza? Lo scopriremo presto. Intanto, rilascia pure qui tutte le tue personali impressioni e considerazioni sul progetto.
