Dans le cadre du programme Android Security Rewards, qui a été inauguré en 2015, Google réévalue une nouvelle fois à la hausse le montant des récompenses pour des vulnérabilités dévoilées par des chercheurs en sécurité à l'équipe Android Security.
En toute logique, le programme est étendu au Pixel 4, en plus des Pixel 3a, 3a XL, 3 et 3 XL, tandis que les anciens smartphones Pixel disparaissent.
Les bugs de sécurité éligibles concernent toujours le code AOSP (Android Open Source Project), OEM (drivers et bibliothèques logicielles), noyau, Secure Element, TrustZone OS et les modules. Pour des vulnérabilités dans un autre code non-Android, l'éligibilité est fonction de l'impact sur la sécurité d'Android OS.
Introduite avec le Pixel 3, une compromission de la puce de sécurité Titan M servant à la protection des informations sensibles sera récompensée d'un grand prix d'un million de dollars. En l'occurrence, un exploit d'exécution de code à distance avec une chaîne complète et persistance sur l'appareil.
Il y a en plus un bonus de 50 % pour des exploits débusqués avec une préversion d'Android (pour les développeurs) et ainsi un grand prix potentiel de 1,5 million de dollars.
Puce Titan (à gauche) et Titan M (à droite)
La puce Titan M réduit la surface d'attaque et exécute plusieurs fonctions de sécurité sensibles comme au niveau de l'Android Verified Boot, le stockage de clés de sécurité privées, le renforcement des politiques de rétablissement de la configuration d'usine, pour empêcher le déverrouillage ou l'installation de mises à jour firmware sans l'accord du propriétaire de l'appareil.
La Titan M dispose de connexions électriques directes avec les boutons sur le côté du Pixel, de sorte qu'un attaquant ne peut pas être en mesure de simuler à distance des appuis.
La grosse prime mise en jeu avec le programme Android Security Rewards est une réponse à des programmes comme par exemple avec Zerodium ou pour vendre des exploits à des gouvernements. Sur ce marché controversé des 0day, Zerodium a récemment surpris en accordant plus de valeur à des exploits pour Android que pour iOS et l'iPhone.
La mise à jour du programme Android Security Rewards comprend également l'introduction d'une récompense de 500 000 $ pour des exploits impliquant l'exfiltration de données et des contournements de l'écran de verrouillage.
