Sécurité

Google paie jusqu’à 1,5 million de dollars à quiconque trouve de graves défauts dans Android

Google a mis un prix plus tentant pour ceux qui découvrent de graves failles de sécurité dans Android : la société paiera 1 million de euros aux chercheurs qui peuvent exécuter un code malveillant sur la puce Titan M sur les téléphones Pixel 3, 3a et 4 ; et 500 000 euros supplémentaires s’il y a extraction de données. Auparavant, la valeur maximale des récompenses pour la sécurité d’Android était de 200 000 euros.

Plusieurs entreprises disposent de programmes de bogue de prime, notamment Facebook, Microsoft et Apple, en complément des équipes de sécurité interne. Il est moins coûteux de payer une récompense à un chercheur que de dépenser des millions de euros pour résoudre une infraction grave.

La puce Titan M est une source de fierté pour Google. Il est présent dans les Pixel 3, 3a, 4 et ses variantes XL, et protège les données des utilisateurs de différentes manières : en empêchant quelqu’un d’installer une version ancienne et vulnérable d’Android ; en empêchant un mobile volé de fonctionner après avoir été réinitialisé ; et en garantissant que même Google ne peut pas déverrouiller ou installer lui-même un micrologiciel.

  Modifier les documents Google Docs directement sur Linux

Comme personne n’a encore réussi à pirater le Titan M, Google a décidé d’offrir une incitation plus importante : toute personne exécutant un code malveillant sur cette puce recevra un million de euros. Et s’il est possible d’extraire les données qui y sont stockées, l’entreprise paie 500 000 euros supplémentaires.

Google verse 250 000 euros à toute personne qui envahit le noyau Android ou la puce SE (Secure Element) qui stocke les données biométriques et les données des cartes de paiement. Avez-vous pu contourner l’écran de blocage d’Android grâce à un logiciel ? L’entreprise paie 100 000 euros. Le prix n’est valable que si la défaillance affecte plusieurs ou tous les appareils ? pas pour ceux qui trichent à biométrie avec un faux doigt, par exemple.

Elle offre également une prime de 50 % si l’échec se produit dans certaines versions de démonstration, avant qu’elles ne soient distribuées aux fabricants. Vous trouverez plus de détails sur ce lien.

  Procon-SP avertit d'un coup de connexion à son propre numéro

Les récompenses pour la sécurité d’Android sont limitées à la ligne de pixels ; les fabricants comme Samsung exploitent leurs propres programmes de bogue de prime. Google propose également des récompenses Chrome pour le navigateur web et Chrome OS, qui peuvent aller jusqu’à 150 000 euros, et des récompenses Google Play, qui peuvent aller jusqu’à 26 000 euros pour les failles de sécurité des applications Play Store.

Google a payé 4 millions de euros au total pour les pannes d’Android

Au cours des 12 derniers mois, Google a versé plus de 1,5 million de euros en récompenses pour des bogues. Le paiement moyen était de 3 800 € par découverte et de 15 000 € par chercheur.

La plus grosse récompense a été pour Guang Gong de Qihoo 360 Technology pour une “chaîne d’exploration d’exécution de code à distance sur le pixel 3”. Il a reçu 161 337 euros de Android Security Rewards et 40 000 euros de Chrome Rewards, soit un total de 201 337 euros.

  Comment activer le mode sombre d'Android Pie et économiser la batterie

Le programme Android bounty bug a été lancé en 2015 et a depuis payé plus de 4 millions de euros pour 1 800 violations de la sécurité.

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire