L'année dernière, Google a lancé un programme de récompenses pour la découverte de vulnérabilités de sécurité affectant Android. En particulier, il se focalise sur les failles identifiées avec les appareils Nexus et la Pixel C en vente dans le Google Store US.

Android sécurité Ce programme de Bug Bounty a été à l'origine de l'envoi de plus de 250 rapports valides et Google a versé 550 000 dollars à 82 chercheurs en sécurité. Une moyenne de 2 200 $ par bug et 6 700 $ par hacker. Avec 26 vulnérabilités à son actif, un certain @heisecode a touché 75 750 $.

Google a décidé de rehausser le montant des primes avec effet rétroactif après le 1er juin. La grille tarifaire remaniée est affichée ici. La récompense maximale de 50 000 $ sera attribuée à un exploit ou un enchaînement de plusieurs exploits permettant de " compromettre TrustZone ou Verified Boot depuis un vecteur d'attaque à distance ou à proximité. "

Une précision apportée par Google est que si son programme se concentre sur les appareils Nexus et l'amélioration de la sécurité Android, plus d'un quart des problèmes rapportés concernaient du code développé et utilisé en dehors de l'Android Open Source Project.

En attendant... comme on peut le voir avec les mises à jour mensuelles de sécurité Android, Google a maille à partir avec de fréquentes vulnérabilités affectant le composant Mediaserver impliqué dans le traitement du contenu multimédia et qui interagit avec le noyau.

Dans Android Nougat, des mesures ont été prises afin de diviser Mediaserver et ses autorisations dans divers composants et environnements de sandbox distincts. Le but est de protéger le système en donnant moins de privilèges et en isolant des composants qui traitent du contenu non sûr.