Google a décidé d'étendre un peu plus son programme de récompenses et après son navigateur Chrome et son système Chrome OS, la firme de Mountain View souhaite désormais récompenser les chercheurs impliqués dans la recherche de vulnérabilités sur Android. Dans un premier temps ce dispositif ne concerne que les dernières versions du système disponibles sur les Nexus 6 et Nexus 9.
A l'occasion du sommet Black Hat Mobile Security, Adrian Ludwig, chef de la sécurité d'Android, a précisé que les vulnérabilités prises en compte devaient être identifiées au sein du code de l'AOSP (Android open source Project), celui des OEM (pilotes et bibliothèques logicielles) celui du kernel ainsi que du code des modules. Les failles présentes au sein des firmwares des puces pourront éventuellement être prises en charge si elles affectent le système.
Trois paliers de récompenses de base sont prévus : 500 dollars pour les vulnérabilités jugées modérées, 1000 dollars pour celles à niveau élevé et 2000 dollars pour celles considérées comme critiques. Toutefois, ces sommes seront multipliées par 1,5 si les chercheurs fournissent un scénario de test voire un correctif.
En outre, Google explique qu'un exploit mettant à mal le kernel depuis une application installée ou un accès physique à l'appareil pourrait être récompensé par 10 000 dollars voire 20 000 dollars si le code est exécuté à distance. Google reversera par ailleurs 20 000 dollars et jusqu'à 30 000 dollars si un exploit affecte le TrustZone ou la sécurité de l'amorce de système.
- Retrouvez davantage d'informations sur cette page.
