Android : les hackers éthiques mieux récompensés

Le par  |  1 commentaire(s)
Android-cible

Les primes pour la découverte de bugs de sécurité dans Android sont revues à la hausse par Google.

L'année dernière, Google a lancé un programme de récompenses pour la découverte de vulnérabilités de sécurité affectant Android. En particulier, il se focalise sur les failles identifiées avec les appareils Nexus et la Pixel C en vente dans le Google Store US.

Android sécuritéCe programme de Bug Bounty a été à l'origine de l'envoi de plus de 250 rapports valides et Google a versé 550 000 dollars à 82 chercheurs en sécurité. Une moyenne de 2 200 $ par bug et 6 700 $ par hacker. Avec 26 vulnérabilités à son actif, un certain @heisecode a touché 75 750 $.

Google a décidé de rehausser le montant des primes avec effet rétroactif après le 1er juin. La grille tarifaire remaniée est affichée ici. La récompense maximale de 50 000 $ sera attribuée à un exploit ou un enchaînement de plusieurs exploits permettant de " compromettre TrustZone ou Verified Boot depuis un vecteur d'attaque à distance ou à proximité. "

Une précision apportée par Google est que si son programme se concentre sur les appareils Nexus et l'amélioration de la sécurité Android, plus d'un quart des problèmes rapportés concernaient du code développé et utilisé en dehors de l'Android Open Source Project.

En attendant... comme on peut le voir avec les mises à jour mensuelles de sécurité Android, Google a maille à partir avec de fréquentes vulnérabilités affectant le composant Mediaserver impliqué dans le traitement du contenu multimédia et qui interagit avec le noyau.

Dans Android Nougat, des mesures ont été prises afin de diviser Mediaserver et ses autorisations dans divers composants et environnements de sandbox distincts. Le but est de protéger le système en donnant moins de privilèges et en isolant des composants qui traitent du contenu non sûr.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1907972
Tiens des EH par ici aussi.


Vraiment propre ce petit programme Bug Bounty et tant mieux si ils rehaussent le montant des primes pour les chercheurs, ça va leur donné encore plus envie de s'investir et qui sait peut-être qu'un jour Mediaserver commencera à être vraiment secure.

Vivement Nougat et OpenJDK.


Peace.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]