Google augmente les primes pour les bugs Android

Pour inciter les chercheurs à découvrir des failles dans les solutions de sécurité pour Android, Google élève le montant des primes.

Google révise à la hausse les récompenses de son programme de recherche de bugs sur Android. Une décision prise après que personne ne soit parvenu à casser les services de sécurité TrustZone et Verified Boot de l’OS mobile. Jusqu’à aujourd’hui, Google versait une prime maximum de 30 000 dollars pour une exploitation à distance via la compromission de ces services. Maintenant, la firme américaine va proposer 50 000 dollars. Par contre, les compteurs restent à 30 000 dollars pour une attaque ou une chaîne d’attaque contre ces deux services via une application ou avec un accès physique au terminal.

Toujours dans un souci dl’incitation, Google porte de 20 000 à 30 000 dollars la prime pour un exploit à distance ou proche du noyau. Pour mémoire en mars dernier, il avait remonté à 100 000 dollars la récompense pour une compromission persistante et en mode invité de son Chromebook.

Plus de 250 primes

Sur son Bug Bounty, Google a indiqué avoir attribué plus de 250 primes pour récompenser la découverte de vulnérabilités valides en 2015. Mais un quart des failles résidait dans le code de fournisseurs tiers comme le noyau ou dans les drivers des périphériques. Au total, la société a versé 550 000 dollars à 82 chercheurs en sécurité, soit une moyenne par bug de 2 200 dollars et de 6 700 dollars par chercheurs. Mais certains raflent plus de primes que les autres. C’est le cas de @heisecode qui a glané 75 750 dollars pour 26 rapports de vulnérabilité. Google n’a néanmoins pas précisé quelle personne a proposé le plus grand nombre de bug. Il a simplement souligné que 15 chercheurs ont atteint 10 000 dollars pour plusieurs bugs.

Bounty Factory : la recherche de bugs made in Europe est née

Crédit Photo : Twin Design – shutterstock

Lire aussi : Android sur Windows : Microsoft recule à nouveau