En bref: L’année dernière, le programme Bug Bounty de Google a accordé pas moins de 12 millions de dollars aux chercheurs qui ont identifié des failles de sécurité dans ses produits et services. Ce chiffre est en forte hausse par rapport aux 8,7 millions de dollars payés en 2021 et devrait continuer d’augmenter dans les années à venir. La société étend désormais ses efforts de recherche sur la sécurité avec un nouveau programme qui cible les applications Android propriétaires.
Plus tôt ce mois-ci, Google mis à jour le programme de récompense de vulnérabilité des appareils Android et Google (VRP) avec un nouveau système d’évaluation de la qualité pour les rapports de bogues et a augmenté la récompense maximale pour la recherche de vulnérabilités critiques à 15 000 $. La société a expliqué à l’époque que cela faciliterait la correction des failles de sécurité dans les téléphones Pixel, les appareils Google Nest et les appareils portables Fitbit, ainsi que le système d’exploitation Android de manière plus rapide.
Cette semaine, la société lancé le Mobile Vulnerability Rewards Program (Mobile VRP), qui cible les chercheurs intéressés par la sécurité des applications Android créées par Google ou d’autres sociétés appartenant à Alphabet.
Le nouveau programme classe les applications Android propriétaires en trois niveaux. Le premier niveau comprend les applications les plus importantes, telles que les services Google Play, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud et AGSA (le widget de recherche Google dans Android). Les applications de niveau 2 et de niveau 3 incluent celles développées par la division de recherche de Google, Google Samples, Red Hot Labs, Nest Labs, Waymo et Waze.
En ce qui concerne les types de vulnérabilités de sécurité éligibles au programme Mobile VRP, Google indique qu’il s’intéresse principalement aux bogues qui permettent l’exécution de code arbitraire et le vol de données, de sorte que ses ingénieurs en sécurité donneront la priorité à ces rapports. Cela dit, la société cherche également à en savoir plus sur d’autres failles de sécurité qui pourraient être utilisées dans le cadre de chaînes d’exploitation, y compris les vulnérabilités de traversée de chemin ou de traversée de chemin zip, les autorisations orphelines et les redirections d’intention qui pourraient être utilisées pour lancer des composants d’application non exportés. .
Les récompenses varient en fonction de la gravité de la faille découverte et des applications affectées, et Google est prêt à payer jusqu’à 30 000 $ pour trouver des failles qui permettent aux attaquants d’exécuter du code à distance sans interaction de l’utilisateur. Les récompenses les plus substantielles pour la découverte d’un défaut grave dans les applications de niveau 2 et de niveau 3 sont respectivement de 25 000 $ et 20 000 $. Le montant le plus bas accordé pour un rapport de qualification est de 500 $, mais Google peut également appliquer un bonus de 1 000 $ pour les rédactions exceptionnelles.
Lisez aussi : Android a-t-il besoin d’être sauvegardé ? Si oui, voici comment procéder.
Le programme de primes aux bogues de Google est l’un des plus importants de l’industrie technologique, avec 12 millions de dollars versés aux chercheurs en sécurité rien qu’en 2022. La récompense la plus élevée était de 605 000 $ pour un expert qui a découvert une chaîne d’exploitation composée de cinq vulnérabilités dans Android.
Les chercheurs en sécurité intéressés par le Mobile VRP peuvent trouver plus de détails ici. Google dit que les rapports doivent être succincts et inclure une courte preuve de concept si possible – quelques directives sur la façon de soumettre de meilleurs rapports de bogues peuvent être trouvées ici.
Dans des nouvelles connexes, les chercheurs ont détaillé cette semaine une nouvelle attaque par force brute qui peut contourner les verrous d’empreintes digitales sur les téléphones Android. Il affecte plusieurs modèles populaires d’entreprises telles que Samsung, Xiaomi et OnePlus, et l’exploit peut être effectué en un temps relativement court et avec du matériel relativement peu coûteux.
Crédit d’en-tête : Alexandre Londres