Google a considérablement augmenté les récompenses que les chasseurs de bogues peuvent obtenir en signalant les vulnérabilités des applications Android qu’il développe et gère.
“Nous avons multiplié par 10 le montant des récompenses dans certaines catégories (par exemple, l’exécution de code arbitraire à distance dans une application de niveau 1 est passée de 30 000 $ à 300 000 $)”, a souligné Kristoffer Blasiak, ingénieur en sécurité de l’information chez Google.
Google est également prêt à payer davantage pour des rapports de haute qualité, afin que l’équipe du programme Mobile Vulnerability Reward puisse prendre des décisions plus rapidement.
Augmentation des primes de bugs
Le programme Google Mobile Vulnerability Reward a été lancé en mai 2023 et couvre les applications Android développées par Google et ses filiales (par exemple Fitbit, Waymo, Waze, etc.)
Les applications sont classées en trois niveaux :
- Niveau 1 inclut les services Google Play, l’application Android Google Search (AGSA), Google Cloud et Gmail
- Niveau 2 inclut les applications qui interagissent avec une application de niveau 1, des données utilisateur ou les services de Google
- Niveau 3 inclut des applications qui ne gèrent pas les données des utilisateurs et n’interagissent pas avec les services de Google
Après ces dernières modifications, un bug dans une application de niveau 1 pouvant conduire à l’exécution de code arbitraire et pouvant être déclenché à distance et sans interaction de l’utilisateur peut rapporter 300 000 $ à son découvreur. Si une interaction de l’utilisateur (par exemple, suivre un lien) est requise, le montant de la récompense est divisé par deux.
“Nous avons également profité de l’occasion pour concentrer les augmentations de récompenses sur les catégories auxquelles nous souhaitons que les chercheurs accordent une attention particulière, afin de nous assurer que nous récompensons de manière appropriée les rapports les plus percutants”, a ajouté Blasiak.
« Un exemple de ceci est le vol de données, où nous avons considérablement augmenté les montants des récompenses, mais nous avons également veillé à donner des exemples de l’impact de différents types de vol de données ; cela permet de clarifier l’impact des données acquises sur le montant final de la récompense.
Les récompenses pour les bogues susceptibles de permettre aux attaquants de voler des données sensibles atteignent 75 000 $ si le bogue peut être exploité à distance, sans interaction de l’utilisateur, et 37 500 $ si l’interaction de l’utilisateur est une condition préalable à l’exploitation.
Les bogues dans les applications de niveau 2 et 3 sont couverts par le programme, mais offrent des primes moindres.
Google souhaite également inciter les chasseurs de bogues à remettre des rapports de qualité exceptionnelle – c’est-à-dire des rapports accompagnés d’une proposition de correctif/d’atténuation, d’une analyse des causes profondes et démontrant clairement l’impact des résultats – en s’engageant à augmenter le montant final de la récompense de 1,5. X.
« S’il vous plaît, soyez succinct : votre rapport est trié par des ingénieurs en sécurité et une courte preuve de concept est plus précieuse qu’une vidéo expliquant les conséquences d’un bug spécifique », déclare l’équipe.
Inciter les pirates informatiques éthiques à rechercher des vulnérabilités dans les applications Android de Google
Blasiak dit que ces changements ont été introduits après les commentaires de leurs principaux chasseurs de bogues.
Il y a un an, Google a également annoncé de grosses récompenses pour les signaleurs de bugs de sécurité qui peuvent être enchaînés pour exploiter pleinement Chrome.
Google sait et accepte évidemment ce qu’un groupe de chercheurs de l’Université de Pittsburgh et de l’Université Carnegie Mellon ont récemment confirmé après avoir examiné les programmes de bug bounty : « Des primes plus élevées incitent les pirates informatiques éthiques à déployer plus d’efforts, augmentant ainsi la probabilité qu’ils découvrent d’abord de graves vulnérabilités pendant leur travail. réduisant la probabilité de réussite des pirates malveillants.
