Le programme de primes de bogues de Google pour Android, connu sous le nom d'Android Security Rewards, a versé plus de 4 millions de dollars au cours des quatre années écoulées depuis son lancement, comprenant plus de 1800 rapports individuels. L'entreprise veut maintenant tirer parti de ce succès en élargissant le programme et en ajoutant des récompenses à plus haut rendement pour inciter davantage de chercheurs à sonder l'architecture de sécurité existante de l'entreprise.
La récompense la plus importante dans le cadre du programme concerne désormais la puce de sécurité intégrée de la société pour sa gamme de smartphones Pixel - le Titan M - qui, selon elle, a accordé le Pixel 3 le privilège d'avoir la cote élevée de sécurité intégrée parmi la récolte actuelle d'appareils phares. Tous les chercheurs qui peuvent démontrer "un exploit d'exécution de code à distance à chaîne complète avec persistance qui compromet l'élément sécurisé Titan M sur les appareils Pixel "sera éligible pour un million de dollars jour de paie.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Ce nombre - ainsi que d'autres récompenses possibles - peut être encore augmenté de 50% si l'exploit peut être répliqué sur des versions d'aperçu du développeur spécifiques du système d'exploitation. Dans l'ensemble, cela signifie que la plus grande récompense possible pour le programme est maintenant de 1,5 million de dollars. Étant donné qu'il s'agit probablement d'une cible plutôt de niche - et peut être particulièrement difficile à atteindre, étant donné la confiance de Google dans la puce Titan M - la société propose également une variété de nouvelles récompenses pour d'autres types de vulnérabilités liées à l'exfiltration de données et à l'écran de verrouillage contourne. Ceux-ci peuvent aller jusqu'à 500 000 $ par rapport, en fonction de la nature de l'exploit. Les détails de ceux-ci peuvent être trouvés ici.
Les modifications apportées au programme, qui a versé au total 1,5 million de dollars à plus de 100 chercheurs différents au cours de la dernière année, devraient entrer en vigueur le 21 novembre 2019. Toutes les primes rapportées après cette date seront basées sur les nouvelles règles. Malheureusement, si vous avez découvert et signalé un exploit avant cette date, vous serez payé sur la base de l'échelle précédente.