Per la scoperta di due vulnerabilità nello scorso Agosto 2017, Google ha premiato il ricercatore cinese Guang Gong con ben 112.500 dollari. Il premio fa parte del programma Android Security Rewards (ASR), lanciato nel 2015 come sistema per aiutare i propri ricercatori a chiudere le falle su Android.
Al fine di garantire una sicurezza il più accurata possibile, Google ha lanciato nel 2015 tale programma che permette, agli sviluppatori e ai ricercatori di terze parti, di venire pagati se scoprono delle vulnerabilità al sistema operativo.
Il premio è dovuto alla scoperta di due bug nel mese di Agosto 2017: CVE-2017-5116, che consente l’esecuzione remota di codice arbitrario tramite HTML creato all’interno della sandbox di Chrome e CVE-2017-14904, che consente di evadere dalla sandbox di Chrome.
Se combinati, questi due bug permettevano l’esecuzione di codice malevolo da remoto semplicemente attraverso un link cliccato su Chrome. Fortunatamente Google ha risolto entrambe le falle di sicurezza con la patch di Dicembre.
Per quanto riguarda il programma Android Security Rewards (ASR), nel giugno 2017 ha ricevuto una spinta in alcuni dei suoi premi perché, secondo Google, “ogni versione Android include più protezioni di sicurezza e nessun ricercatore ha richiesto il massimo riconoscimento per una catena di exploit in 2 anni“.
In realtà il ricercatore cinese ha ottenuto il premio non solamente dal programma Android ma anche dal programma Chrome Rewards (105.000 dollari dal programma Android e 7.500 dollari dal programma di Chrome).
Per maggiori informazioni sulle due falle di sicurezza che sono state scoperte in Agosto e risolte a Dicembre, vi rimandiamo al blog post pubblicato dalla stessa Google.