Google offre fino a 1,5 milioni di dollari per bug Android

Google ha deciso di alzare sensibilmente la posta nel settore della sicurezza mobile: alcune catene di exploit Android particolarmente sofisticate possono ora fruttare fino a 1,5 milioni di dollari per i ricercatori di sicurezza che le segnalano attraverso i canali ufficiali di bug bounty. Il premio in denaro maggiorato riguarda soprattutto gli attacchi contro dispositivi Pixel e componenti ad alta criticità come il chip Titan M2, il modulo hardware che gestisce funzioni delicate quali verifica dell’avvio, protezione delle chiavi crittografiche e integrità del sistema.

La revisione del programma bug bounty di Google non arriva per caso: Android resta la piattaforma mobile più diffusa al mondo e continua a rappresentare un bersaglio privilegiato per gruppi criminali, società che sviluppano spyware commerciali e operatori legati ad attività di cyberintelligence. I numeri spiegano bene la situazione: Google ha dichiarato di aver pagato oltre 17 milioni di dollari ai ricercatori nel solo 2025, con più di 740 specialisti coinvolti. Dal lancio del programma, avvenuto nel 2010, la società ha distribuito oltre 81 milioni di dollari in ricompense.

Il dato interessante, però, non è solo economico. Google sta ridefinendo le priorità tecniche del proprio Vulnerability Reward Program: la società premia meno le vulnerabilità considerate “facili” e concentra i compensi sulle catene di compromissione realmente difficili da costruire. Dietro questa scelta c’è anche un fattore ormai impossibile da ignorare: l’intelligenza artificiale sta accelerando l’individuazione di bug banali, mentre la realizzazione di exploit avanzati continua a richiedere competenze specialistiche.

Perché il chip Titan M2 è diventato il bersaglio più prezioso

La ricompensa massima da 1,5 milioni di dollari riguarda exploit completi di tipo zero-click contro Titan M2: significa che l’attacco non deve richiedere alcuna interazione dell’utente e deve mantenere l’accesso anche dopo riavvii o tentativi di ripristino del dispositivo mobile.

Titan M2 non è un semplice coprocessore di sicurezza: deriva dal progetto OpenTitan ed è progettato per operare come root of trust hardware. Controlla la validità del bootloader, protegge il rollback delle versioni firmware, conserva segreti crittografici e collabora con Android Verified Boot.

Per compromettere un dispositivo del genere un ricercatore deve quasi sempre concatenare più vulnerabilità: una falla nel kernel Linux usato su Android, un bypass delle mitigazioni di memoria, un accesso privilegiato al Secure Element e, in alcuni casi, una tecnica per evitare il ripristino delle protezioni dopo il reboot.

Google distingue anche gli exploit con e senza persistenza. Una compromissione temporanea del Titan M2 può arrivare a 750.000 dollari; il raddoppio del premio scatta quando l’attaccante riesce a mantenere il controllo in modo stabile.

Chrome e Android seguono la stessa direzione

Le modifiche non riguardano solo Android. Google ha aggiornato anche il programma dedicato a Chrome, portando fino a 250.000 dollari le ricompense per exploit completi della sandbox del browser su sistemi aggiornati.

Un aspetto tecnico interessante riguarda MiraclePtr, una tecnologia sviluppata da Google per mitigare vulnerabilità legate alla corruzione della memoria all’interno del browser. La società offre un bonus aggiuntivo di oltre 250.000 dollari a chi riesce a compromettere allocazioni protette da questo meccanismo.

MiraclePtr nasce per contrastare bug tipici del codice C++ come use-after-free e dangling pointer introducendo controlli supplementari sulla validità dei puntatori durante l’accesso alla memoria. Superare queste difese richiede tecniche avanzate di heap manipulation e una profonda comprensione dell’architettura interna di Chrome/Chromium.

In generale, comunque, trovare un bug non basta più: bisogna dimostrare che il bug resta sfruttabile anche in presenza di sandbox, hardening e protezioni a runtime.

L’impatto dell’AI sulla ricerca di vulnerabilità

Tra le dichiarazioni più interessanti pubblicate da Google ce n’è una che fotografa bene la situazione attuale del settore. L’azienda sostiene che gli strumenti basati su AI rendono ormai semplice produrre report lunghi e dettagliati; di conseguenza il valore della documentazione prolissa si riduce.

La società preferisce ora segnalazioni più sintetiche, concentrate sulle prove tecniche e sugli elementi realmente utili alla riproduzione del bug. Meno pagine descrittive, più proof-of-concept funzionanti.

Non è un caso che il programma Android ora limiti fortemente le ricompense per vulnerabilità Linux kernel non direttamente collegate a una dimostrazione concreta di sfruttabilità. In passato bastava spesso segnalare il bug; oggi serve dimostrare un impatto reale.

Android resta un obiettivo estremamente complesso

A dispetto dei numerosi livelli di protezione introdotti in Android negli ultimi anni (ASLR, SELinux, Control Flow Integrity, sandboxing applicativo, isolamento dei processi e meccanismi di difesa supportati dall’hardware), di recente diverse vulnerabilità hanno mostrato quanto sia ancora possibile costruire attacchi avanzati.

Alcune falle Qualcomm sfruttate in campagne mirate hanno coinvolto proprio driver GPU Adreno e componenti kernel ad alta esposizione. In certi casi gli attaccanti sono riusciti a ottenere escalation di privilegi e accesso persistente sui dispositivi non aggiornati.

La frammentazione dell’ecosistema Android continua inoltre a rappresentare un problema serio. I Pixel ricevono patch rapidamente; altri produttori distribuiscono aggiornamenti con settimane o mesi di ritardo. Di conseguenza un exploit funzionante contro una versione specifica di Android può restare utile molto più a lungo rispetto a quanto avverrebbe negli ambienti maggiormente centralizzati.

Per non parlare del fatto che si contano quasi 1 miliardo di dispositivi Android esposti ad attacchi perché non più supportati dai produttori con il rilascio degli aggiornamenti di sicurezza.