Google a multiplié par dix les récompenses pour avoir signalé des vulnérabilités d’exécution de code à distance dans certaines applications Android, passant de 30 000 $à 300 000$, la récompense maximale atteignant 450 000 for pour des rapports de qualité exceptionnelle.

La société a apporté ces modifications au programme Mobile Vulnerability Rewards (VRP mobile) et elles s’appliquent à ce qu’elle décrit comme des applications de niveau 1.

La liste des applications incluses dans le champ d’application comprend les services Google Play, l’application de recherche Google Android (AGSA), Google Cloud et Gmail.

Google souhaite désormais également que les chercheurs en sécurité se concentrent sur les failles qui pourraient entraîner un vol de données sensibles et leur versera désormais 75 000 them pour des exploits qui ne nécessitent pas d’interaction de l’utilisateur et peuvent être utilisés à distance.

Pour des rapports de qualité exceptionnelle qui incluent un correctif proposé ou une atténuation efficace et une analyse des causes profondes pour aider à trouver d’autres variantes de problèmes, la société paiera 1,5 fois le montant total de la récompense, permettant aux chercheurs de gagner jusqu’à 450 000 $pour un exploit RCE dans une application Android de niveau 1.

Cependant, ils recevront la moitié de la récompense pour les rapports de bogues de mauvaise qualité qui ne fournissent pas:

  • Descriptions précises et détaillées,
  • Un exploit de validation de principe,
  • Étapes faciles pour reproduire la vulnérabilité de manière fiable,
  • Une démonstration claire de l’impact du bug.
CatégorieÀ distance / Aucune Interaction de l’UtilisateurCliquez sur le lienVia une application malveillante / avec une configuration non par défautAttaquant sur le même réseau
Exécution de Code$300,000$150,000$15,000$9,000
Vol de Données$75,000$37,500$9,000$6,000
Autres Vulnes$24,000$9,000$4,500$2,400

« D’autres modifications mineures ont également été apportées à nos règles. Par exemple, le modificateur 2x pour les SDK est maintenant intégré aux récompenses régulières. Cela devrait augmenter les récompenses globales et facilitera les décisions du panel », a déclaré Kristoffer Blasiak, ingénieur en sécurité de l’information chez Google.

Google a introduit le VRP mobile en mai dernier pour payer les chercheurs en sécurité pour les vulnérabilités des applications Android de l’entreprise.

L’objectif principal du programme bug bounty était d’accélérer le processus de découverte et de correction des failles de sécurité dans les applications Android propriétaires maintenues ou développées par Google.

« Le VRP mobile a été lancé en mai 2023, et après un an, il est temps de revenir sur ce que nous avons accompli », a ajouté Blasiak.

« Plus important encore, nous avons reçu plus de 40 rapports de bogues de sécurité valides, représentant près de 100 000 rewards en récompenses versées aux chercheurs en sécurité. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *