Peu de temps après avoir annoncé des mises à jour majeures du programme de récompense des bogues des appareils Android, Google a maintenant annoncé le lancement de Mobile VRP pour ses applications Android. Le nouveau programme de récompense couvrira spécifiquement les vulnérabilités affectant la sécurité des applications Android de Google et de leurs utilisateurs.
Le programme Mobile VRP de Google pour les applications récompensera jusqu'à 30 000 $.
Le géant de la technologie Google a lancé un programme de récompense des vulnérabilités mobiles (VRP) dédié à ses applications Android. Ce programme invite les chasseurs de bugs et les chercheurs à scanner et à analyser les applications Android développées et maintenues par Google, et à détecter les vulnérabilités.
Nous sommes ravis d'annoncer le nouveau VRP mobile ! Nous recherchons des chasseurs de bugs pour nous aider à trouver et à corriger les vulnérabilités de nos applications mobiles.
– Google VRP (Chasseurs de bugs Google) (@GoogleVRP) 22 mai 2023
Comme le précise la page des règles du programme, Google Mobile VRP s'applique à ses applications mobiles de “niveau 1”, qui comprennent les éléments suivants.
- Google Play Services (com.google.android.gms)
- AGSA (com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
De plus, le programme couvrira également les apps développées par les développeurs suivants.
- Google LLC
- Développé avec Google
- La recherche chez Google
- Red Hot Labs
- Échantillons Google
- Fitbit LLC
- Nest Labs Inc.
- Waymo LLC
- Waze
Vulnérabilités qualifiées dans le cadre de la VRP mobile
En ce qui concerne le type de vulnérabilités couvertes par ce programme de récompense des bogues, Google énumère les vulnérabilités suivantes comme étant admissibles.
- Exécution de code arbitraire (ACE)
- Exposition de données sensibles. Ici, les données “sensibles” comprennent les détails menant à un accès non autorisé aux comptes des utilisateurs (tels que les identifiants de connexion), les listes de contacts des utilisateurs, les photos, les journaux de SMS et tout autre contenu généré par l'utilisateur, ainsi que toute IPI, PHI ou information financière. Cependant, dans cette catégorie, Google ne classe pas les données de localisation, les fichiers internes non sensibles ou toute exposition de données qui n'est pas directement causée par les applications Google.
- Redirections d'intention
- Traversée de chemin
- Permissions orphelines
- Vulnérabilités déclenchées en raison d'une utilisation non sécurisée des intents en attente.
Encore une fois, les problèmes de sécurité tels que les clés codées en dur, les bogues de faible gravité exploitables de façon triviale, les variantes de StrandHogg et les attaques dues à l'enracinement de l'appareil ne sont pas éligibles au VRP mobile.
En ce qui concerne les récompenses, Google a partagé une répartition détaillée des primes pour les différents niveaux d'application (y compris les niveaux 2 et 3). Les récompenses les plus élevées (30 000 $) sont réservées aux failles d'exécution de code arbitraire à distance (ne nécessitant aucune interaction avec l'utilisateur) dans les applications de niveau 1. Les chercheurs recevront respectivement 25 000 et 20 000 dollars pour de telles failles dans les applications de niveau 2 et 3.
Plus de détails sur le Mobile VRP sont disponibles sur la page Règles, que les chercheurs intéressés peuvent visiter pour apprendre et tirer parti de cette nouvelle opportunité de gagner de l'argent.
Cette décision intervient peu de temps après que Google a annoncé des mises à jour majeures de son VRP pour le système et les appareils Android. Avec ces mises à jour, Google vise à mieux remédier aux problèmes de sécurité signalés.
Fais-nous part de tes réflexions dans les commentaires.
