La sicurezza digitale e l’esperienza utente tornano al centro delle strategie di Google e Apple, che introducono aggiornamenti mirati per ridurre i rischi e migliorare l’interazione con i propri ecosistemi. Google aggiorna Chrome con una funzione di revoca automatica delle notifiche dai siti inattivi, mentre Apple innalza il massimo premio per le vulnerabilità zero-click a oltre 1,83 milioni di euro, il payout più alto dell’intero settore tecnologico.
Cosa leggere
Revoca automatica delle notifiche in Chrome
La nuova funzione di Chrome nasce per contrastare il sovraccarico di notifiche che affligge milioni di utenti desktop e mobile. Il Safety Check, già noto per la gestione dei permessi di posizione e fotocamera, ora estende il suo controllo anche alle notifiche push. Come spiegato da Archit Agarwal, product manager di Chrome, “meno dell’1% delle notifiche ricevute dagli utenti genera interazioni effettive”. Google ha così introdotto un sistema che revoca automaticamente le notifiche per i siti con basso engagement e alto volume di avvisi, riducendo distrazioni e potenziali rischi di phishing. Quando un sito perde l’autorizzazione, l’utente riceve un avviso che spiega la modifica e può ripristinare manualmente l’accesso tramite Safety Check o visitando di nuovo il sito. La funzione è completamente disattivabile, offrendo pieno controllo sulle preferenze personali.
Dal settembre 2024, Chrome ha introdotto anche i permessi una tantum, validi solo per la sessione corrente, che vengono automaticamente revocati al termine della navigazione. In aggiunta, su Windows il processo del browser è stato de-elevato dai privilegi amministrativi, migliorando la protezione da escalation di privilegi e attacchi locali. Il risultato, confermano i test interni di Google, è una riduzione netta del carico cognitivo e della superficie di attacco, con un incremento dell’engagement per le notifiche realmente utili.
Aggiornamenti stabili, beta e dev di Chrome
Google rilascia parallelamente una serie di aggiornamenti su più canali:
- Canale stabile: Chrome 141.0.7390.76 e .77 per Windows e Mac, 141.0.7390.76 per Linux.
- ChromeOS stabile: versione 16371.65.0 (browser 140.0.7339.242).
- Canale beta: versione 142.0.7444.23 per desktop, 142.0.7444.21 per Android e 142.0.7444.22 per iOS.
- Canale dev: versione 143.0.7461.3 per desktop, 143.0.7457.3 per Android e 142.0.7444.24 su ChromeOS.
Tutti gli aggiornamenti includono miglioramenti di stabilità e sicurezza, con rollout graduale previsto nelle prossime settimane.
Miglioramenti di sicurezza e privacy
L’introduzione della revoca automatica rientra in una strategia più ampia di privacy adattiva, dove Chrome riduce progressivamente le interazioni intrusive. La funzione contribuisce anche a limitare le potenziali esfiltrazioni di dati tramite notifiche push compromesse, una tecnica sempre più sfruttata dai threat actor.
Google continua a rafforzare la protezione multi-strato di Chrome con sistemi di isolamento dei processi, sandboxing avanzato e blocco dei contenuti misti. L’obiettivo è garantire un browser più sicuro senza sacrificare la fluidità d’uso, seguendo la filosofia di “sicurezza silenziosa” già applicata su Android.
Apple alza i premi per le vulnerabilità
Sul fronte Apple, l’azienda di Cupertino espande il suo programma di bug bounty lanciato nel 2020, con premi record fino a 1.833.563 euro per chi scopre e segnala vulnerabilità zero-click. Il nuovo schema introduce una struttura di pagamento più trasparente, con bonus per exploit complessi e categorie specifiche che coprono tutto lo stack tecnologico Apple, dai chip modem ai sistemi cloud. Dal 2020, il programma ha distribuito oltre 32 milioni di euro a circa 800 ricercatori, con singoli report che hanno raggiunto compensi fino a 458.000 euro. Ora i premi si estendono fino a 4,58 milioni di euro complessivi, grazie a incentivi aggiuntivi per bypass di Lockdown Mode e vulnerabilità in beta software.
Dettagli dei nuovi premi Apple
- Zero-click RCE (remote code execution): 1.833.563 euro
- One-click attack o attacco di prossimità wireless: 916.781 euro
- Accesso non autorizzato a iCloud: 916.781 euro
- Exploit WebKit con codice arbitrario non firmato: 916.781 euro
- Attacco fisico su dispositivo bloccato o fuga da sandbox: 458.391 euro
- Bypass di Gatekeeper su macOS: 91.678 euro
- Rapporti minori a basso impatto: 917 euro
Apple sottolinea che nessun attacco zero-click via prossimità wireless è stato osservato finora, ma l’obiettivo è alzare il costo economico di potenziali operazioni di spyware mercenario, spingendo i ricercatori a responsible disclosure invece di vendere exploit sul mercato grigio.
Difesa contro spyware e programmi futuri
Apple prosegue inoltre la sua campagna di difesa contro gli spyware commerciali, distribuendo nel 2026 mille iPhone 17 “sicuri” a organizzazioni della società civile e giornalisti ad alto rischio. Il Security Research Device Program, che consente ai ricercatori di accedere a build speciali di iOS per test di sicurezza, è stato esteso e accetta nuove candidature fino al 31 ottobre 2025. Con la combinazione di Lockdown Mode, Memory Integrity Enforcement e incentivi economici, Apple consolida una posizione di leadership nella sicurezza mobile, spingendo l’intero settore verso maggiore trasparenza e responsabilità.
Sicurezza convergente
Le mosse parallele di Google e Apple dimostrano una convergenza tra usabilità e sicurezza: Chrome semplifica la gestione dei permessi per ridurre l’abuso delle notifiche, mentre Apple potenzia la ricerca di vulnerabilità con premi record. Entrambe le aziende perseguono lo stesso obiettivo: rendere la sicurezza una funzione automatica e integrata nell’esperienza utente.
