Google Augmente la Récompense Jusqu'à 450 000 $ Pour les Bugs RCE Dans Certaines Applications Android

Google offre désormais une récompense allant jusqu’à 450 000 $ pour signaler des vulnérabilités d’exécution de code à distance (RCE) dans certaines applications Android sélectionnées.

Pour ceux qui ne le savent pas, la RCE est une cyberattaque par laquelle un attaquant peut exécuter à distance du code malveillant sur un ordinateur cible, peu importe où il se trouve, afin de déployer des logiciels malveillants supplémentaires ou de voler des données sensibles.

Auparavant, la récompense pour signaler des vulnérabilités RCE dans l’application de niveau 1 était de 30 000 $, ce qui a maintenant été multiplié par 10 pour atteindre 300 000 $.

Ces changements ont été apportés au Programme de Récompenses pour Vulnérabilités Mobiles (Mobile VRP) lancé en 2023, qui se concentre sur les applications Android de première partie développées ou maintenues par Google.

L’objectif de ce programme est “d’atténuer les vulnérabilités dans les applications Android de première partie, et ainsi de protéger les utilisateurs et leurs données” en “reconnaissant les contributions et le travail acharné des chercheurs qui aident Google à améliorer la posture de sécurité de nos applications Android de première partie.”

Depuis le lancement de Mobile VRP, Google a reçu plus de 40 rapports de bugs de sécurité valides, pour lesquels il a versé près de 100 000 $ en récompenses aux chercheurs en sécurité.

Concernant le niveau 1, la liste des applications concernées comprend Google Play Services, l’application de recherche Google Android (AGSA), Google Cloud et Gmail.

Google souhaite également que les chercheurs en sécurité prêtent une attention particulière aux failles qui pourraient conduire au vol de données sensibles. Pour les exploits nécessitant une interaction à distance ou aucune interaction de l’utilisateur, les chercheurs seraient payés 75 000 $.

De plus, le géant technologique paiera 1,5 fois le montant total de la récompense pour des rapports de qualité exceptionnelle qui incluent un correctif proposé ou une atténuation efficace de la vulnérabilité, ainsi qu’une analyse des causes profondes qui aide à trouver d’autres variantes similaires du problème. Cela permettrait aux chercheurs de gagner jusqu’à 450 000 $ pour un exploit RCE dans une application Android de niveau 1.

Cependant, les chercheurs recevraient la moitié de la récompense pour des rapports de bugs de faible qualité qui ne fournissent pas :

• Une description précise et détaillée du problème

• Un exploit de preuve de concept

• Une application exemple sous la forme d’un APK

• Une explication étape par étape sur la façon de reproduire la vulnérabilité de manière fiable

• Une analyse claire et une démonstration de l’impact de la vulnérabilité

| | Catégorie | | 1) Interaction à Distance/Aucune Interaction Utilisateur | | 2) L’utilisateur doit suivre un lien qui exploite l’application vulnérable | | 3) L’utilisateur doit installer une application malveillante ou l’application victime est configurée de manière non par défaut | | 4) L’attaquant doit être sur le même réseau (par exemple, MiTM) | |

| | A) Exécution de Code Arbitraire | | 300 000 $ | | 150 000 $ | | 15 000 $ | | 9 000 $ | |

| | B) Vol de Données Sensibles* | | 75 000 $ | | 37 500 $ | | 9 000 $ | | 6 000 $ | |

| | C) Autres Vulnérabilités | | 24 000 $ | | 9 000 $ | | 4 500 $ | | 2 400 $ | |

“Quelques changements supplémentaires, plus petits, ont également été apportés à nos règles. Par exemple, le modificateur 2x pour les SDK est désormais intégré dans les récompenses régulières. Cela devrait augmenter les récompenses globales et facilitera les décisions du panel,” a déclaré Kristoffer Blasiak, ingénieur en sécurité de l’information chez Google.