L'année dernière, le programme Bug Bounty de Google a attribué au moins 12 millions de dollars aux chercheurs qui ont découvert des failles de sécurité dans ses produits et services. Ce chiffre est nettement supérieur aux 8,7 millions de dollars versés en 2021 et devrait augmenter dans les années à venir. La société étend désormais ses efforts de recherche en matière de sécurité avec un nouveau programme ciblant les applications tierces pour Android.
Plus tôt ce mois-ci, Google a mis à jour le programme Vulnerability Bounty dans Android et les appareils Google (VRP), introduisant un nouveau système d'évaluation de la qualité des rapports de bugs et augmentant la récompense maximale pour la découverte de vulnérabilités critiques à 15 000 dollars. L'entreprise avait alors expliqué que cela faciliterait la correction des failles de sécurité des téléphones. pixel, les appareils Google Nest et Fitbit, ainsi que dans le système d'exploitation Android de manière plus opportune.
Cette semaine, la société a lancé le programme Mobile Vulnerability Rewards (Mobile VRP), qui cible les chercheurs intéressés par l'étude de la sécurité des applications pour Android, développé par Google ou d'autres sociétés appartenant au groupe Alphabet.
La nouvelle application classe les applications tierces pour Android sur trois niveaux. Le premier niveau comprend les applications les plus importantes, telles que Google Play Services, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud et AGSA (le widget de recherche Google dans Android). Les deuxième et troisième niveaux comprennent des applications développées par la division de recherche de Google, Google Samples, Red Hot Labs, Nest Labs, Waymo et Waze.
En ce qui concerne les types de vulnérabilités de sécurité couvertes par le programme Mobile VRP, Google dit qu'il est plus intéressé par les bogues qui permettent l'exécution de code arbitraire et le vol de données, de sorte que les ingénieurs en sécurité de l'entreprise donneront la priorité à ces rapports. Dans le même temps, l'entreprise cherche également à en savoir plus sur d'autres failles de sécurité pouvant être exploitées dans le cadre de chaînes d'exploitation, notamment les vulnérabilités de traversée de chemin ou de traversée d'archive zip, les autorisations orphelines et les redirections délibérées qui peuvent être utilisées pour lancer des fichiers non exportés. composants applicatifs.
La récompense dépend de la gravité des vulnérabilités découvertes et des applications affectées, et Google est prêt à payer jusqu'à 30 000 USD pour la découverte de vulnérabilités permettant aux attaquants d'exécuter du code à distance sans intervention de l'utilisateur. Les récompenses les plus élevées pour la découverte de vulnérabilités graves dans les demandes de niveaux 2 et 3 coûtent respectivement 25 000 $ et 20 000 $. Le montant minimum pour un rapport qualifié est de 500 $, mais Google peut également appliquer un bonus de 1 000 $ pour les rapports exceptionnels.
Le programme de primes de correction de bogues de Google est l'un des plus importants du secteur technologique, avec 2022 millions de dollars versés aux chercheurs en sécurité rien qu'en 12. La plus grosse récompense est de 605 000 dollars pour un expert qui a découvert une chaîne d'exploits provenant de cinq vulnérabilités dans Android.
Les chercheurs en sécurité intéressés par Mobile VRP peuvent trouver plus de détails ici ici. Google indique que les rapports doivent être concis et inclure une brève preuve de concept si possible - des conseils sur la meilleure façon de soumettre des rapports de bogues peuvent être trouvés ici ici.
Lisez aussi:
- Samsung a décidé de laisser Google comme moteur de recherche par défaut
- 2GIS a été supprimé de Google Play