Google ha ora esteso il Chrome Reward Program la sua “taglia” sull’hack di Chrome Os, un programma che offre denaro in cambio della scoperta di bug di sicurezza.
Questa scelta deriva dal fatto che lo scorso anno Google aveva previsto un premio di 50.000$ per chi riusciva a individuare una falla persistente utilizzabile sui Chromebook in modalità guest. Il team di sicurezza dell’azienda non ha ricevuto nessuna segnalazione e ha pertanto deciso di raddoppiare il premio, offrendo ora 100.000$.
Per ottenere i 100.000$, le funzionalità di navigazione sicura devono essere ovviamente attive (come per default), deve essere dimostrata la possibilità di eseguire un binario caricato in una specifica cartella (es. quella dei download), all’utente non deve essere richiesto di cambiare estensione al nome del file e il binario eseguibile non deve essere elencato in una whitelist.
Google negli ultimi sei anni ha ricompensato i ricercatori esperti in sicurezza che hanno partecipato al progetto con 6 milioni di dollari complessivi.
La grande “G” vorrebbe che qualcuno riuscisse ad hackerare Chrome OS, dimostrando la possibilità di bypassare i meccanismi di Safe Browsing di Chrome, le funzioni (simili a quelle presenti anche in Safari e Firefox) che consentono di proteggere l’utente e il sistema da siti web dannosi mentre si navighi. Chrome, per sua natura, sfrutta tecnologie quali Navigazione sicura, sandboxing e aggiornamenti automatici per proteggere l’utente da attacchi di malware e di phishing, funzioni da sempre vantate come estremamente sicure e che consentono di mostrare avvisi quando si incontrano siti ingannevoli che potrebbero contenere malware o programmi dannosi.
Il programma in questione è un incentivo che permette di incrementare le funzionalità previste e testate dagli sviluppatori, nato allo scopo di motivare singoli individui e gruppi di hacker non solo a individuare vulnerabilità ma a farlo anche in modo corretto, comunicando con Google ed evitare, come accade in alcuni casi, che queste siano vendute a terze parti come ad esempio le aziende che vendono servizi di intrusione offensiva e sorveglianza a governi, organi di polizia e servizi segreti di tutto il mondo.