Google a lancé le Mobile Vulnerability Rewards Program (Mobile VRP), un nouveau programme de primes aux bogues qui paiera les chercheurs en sécurité pour les failles trouvées dans les applications Android de l’entreprise.
« Nous sommes ravis d’annoncer le nouveau Mobile VRP ! Nous recherchons des chasseurs de bugs pour nous aider à trouver et à corriger les vulnérabilités de nos applications mobiles », a tweeté Google VRP.
Comme l’a dit la société, l’objectif principal du Mobile VRP est d’accélérer le processus de recherche et de correction des faiblesses des applications Android propriétaires, développées ou maintenues par Google.
Les applications concernées par le Mobile VRP incluent celles développées par Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC et Waze.
La liste des applications concernées contient également ce que Google décrit comme des applications Android « Tier 1 », qui incluent les applications suivantes (et leurs noms de package) :
- Services Google Play (com.google.android.gms)
- AGSA( com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Bureau à distance Chrome (com.google.chromeremotedesktop)
Les vulnérabilités qualifiantes incluent celles permettant l’exécution de code arbitraire (ACE) et le vol de données sensibles, et les faiblesses qui pourraient être enchaînées avec d’autres failles pour conduire à un impact similaire.
Il s’agit notamment des autorisations orphelines, des failles de traversée de chemin ou de traversée de chemin zip conduisant à l’écriture arbitraire de fichiers, des redirections d’intention pouvant être exploitées pour lancer des composants d’application non exportés et des bogues de sécurité causés par une utilisation non sécurisée d’intentions en attente.
Google indique qu’il récompensera un maximum de 30 000 $ pour l’exécution de code à distance sans interaction de l’utilisateur et jusqu’à 7 500 $ pour les bogues permettant le vol de données sensibles à distance.
« Le Mobile VRP reconnaît les contributions et le travail acharné des chercheurs qui aident Google à améliorer la sécurité de nos applications Android propriétaires », a déclaré Google.
« L’objectif du programme est d’atténuer les vulnérabilités des applications Android propriétaires, et ainsi de protéger les utilisateurs et leurs données. »
En août 2022, la société a annoncé qu’elle paierait des chercheurs en sécurité pour trouver des bogues dans les dernières versions publiées du logiciel open source de Google (Google OSS), y compris ses projets les plus sensibles comme Bazel, Angular, Golang, Protocol buffers et Fuchsia.
Depuis le lancement de son premier VRP il y a plus de dix ans, en 2010, Google a récompensé plus de 50 millions de dollars à des milliers de chercheurs en sécurité dans le monde pour avoir signalé plus de 15 000 vulnérabilités.
En 2022, il a accordé 12 millions de dollars, dont un paiement record de 605 000 dollars pour une chaîne d’exploitation Android de cinq bogues de sécurité distincts signalés par gzobqq, le plus élevé de l’histoire des VRP Android.
Un an auparavant, le même chercheur avait soumis une autre chaîne d’exploitation critique dans Android, gagnant 157 000 $ supplémentaires, le précédent record de primes de bogues dans l’histoire des VRP Android à l’époque.