Google vient de lancer un nouveau programme de bug bounty exclusivement destiné à la recherche de failles dans l'environnement Android.
Pour mieux protéger les utilisateurs et leurs données lorsqu'elles transitent par Android, il est impératif de leur proposer des applications plus sécurisées et moins perméables aux failles. Pour accélérer le mouvement et faire du système d'exploitation mobile un outil plus sûr, Google a lancé le 22 mai son nouveau programme de bug bounty (prime aux bugs) baptisé Mobile Vulnerability Rewards Program, ou Mobile VRP.
Attirer davantage de chasseurs de failles
Avec ce programme, Google entend attirer davantage de chasseurs de failles pour l'aider à trouver et à corriger les vulnérabilités des applications mobiles Android que l'entreprise développe, dont elle est propriétaire, ou bien celles dont elle assure la maintenance. Cela comprend toutes les applications Google comme Gmail, Chrome et Google Cloud, mais aussi celles développées par ses filiales ou partenaires Red Hot Labs, Fitbit, Nest, Waymo, ou encore Waze.
Deux grandes familles de vulnérabilités ont été identifiées par Google : l'exécution de code arbitraire et le vol de données sensibles. L'exécution de code arbitraire, ou ACE (pour Arbitrary Code Execution), se manifeste par exemple par la prise de contrôle total d'une application par le hacker, qui peut alors exécuter du code dans une application sans avoir obtenu d'autorisation. Concernant le vol de données sensibles, la firme de Mountain View vise ici les vulnérabilités qui conduisent à un accès non autorisé à des données personnelles importantes depuis une application sur un appareil Android.
Le montant des primes dévoilé par Google
Les primes offertes par Google à ses chasseurs peuvent aller jusqu'à 30 000 dollars dans le cas d'une vulnérabilité aboutissant à l'exécution de code arbitraire non autorisée et à distance. Si l'utilisateur a suivi un lien vers l'application vulnérable, la prime tombe à 15 000 dollars. Repérer une faille pouvant entraîner un vol de données sensibles peut rapporter jusqu'à 7 500 dollars.
Google promet même à ses hackers éthiques une prime de 1 000 dollars s'ils découvrent une vulnérabilité qualifiée de « particulièrement surprenante », ou si celle-ci est parfaitement consignée d'un point de vue écrit.
Jusqu'à maintenant, Google a offert plus de 50 millions de dollars de primes à des milliers de chercheurs par le biais de ses différents programmes. Si l'on ignore le montant moyen de la prime, on sait que l'an dernier, une chaîne d'exploitation Android de cinq vulnérabilités de sécurité a permis à un certain « gzobqq » de recevoir un joli chèque de 605 000 dollars, record absolu à ce jour pour le géant américain. Ce même chercheur avait déjà perçu 157 000 dollars l'année précédente pour avoir soumis une autre chaîne d'exploitation critique.
Source : Google
