Google présente le VRP mobile pour ses applications Android

Peu de temps après avoir annoncé des mises à jour majeures du programme de récompense de bogues des appareils Android, Google avait maintenant annoncé le lancement de Mobile VRP pour ses applications Android. Le nouveau programme de récompenses couvrira spécifiquement les vulnérabilités affectant la sécurité des applications Android de Google et de leurs utilisateurs.

Google Mobile VRP pour les applications récompensera jusqu’à 30 000 $

Le géant de la technologie Google a lancé un programme de récompenses dédié à la vulnérabilité mobile (VRP) pour ses applications Android. Le programme invite les chasseurs de bogues et les chercheurs à analyser et à analyser les applications Android développées et maintenues par Google, et à détecter les vulnérabilités.

Nous sommes ravis d’annoncer le nouveau Mobile VRP! Nous recherchons des chasseurs de bogues pour nous aider à trouver et à corriger les vulnérabilités de nos applications mobiles. https://t.co/HDs1hnGpbH

— Google VRP (Google Bug Hunters) (@GoogleVRP) 22 mai 2023

Comme précisé sur le page des règles du programmeGoogle Mobile VRP s’applique à ses applications mobiles « Niveau 1 », qui incluent les éléments suivants.

• Services Google Play (com.google.android.gms)
• AGSA (com.google.android.googlequicksearchbox)
• Google Chrome (com.android.chrome)
• Google Cloud (com.google.android.apps.cloudconsole)
• Gmail (com.google.android.gm)
• Bureau à distance Chrome (com.google.chromeremotedesktop)

De plus, le programme couvrira également les applications développées par les développeurs suivants.

• Google LLC
• Développé avec Google
• Recherche chez Google
• Laboratoires chauds rouges
• Échantillons Google
• Fitbit LLC
• Nest Labs Inc.
• Waymo LLC
• Waze

Qualifier les vulnérabilités sous Mobile VRP

En ce qui concerne le type de vulnérabilités couvertes par ce programme de récompense de bogues, Google répertorie les éléments suivants comme vulnérabilités éligibles.

• Exécution de code arbitraire (ACE)
• Exposition de données sensibles. Ici, les données « sensibles » incluent les détails menant à un accès non autorisé aux comptes des utilisateurs (tels que les identifiants de connexion), les listes de contacts des utilisateurs, les photos, les journaux de SMS et tout autre contenu généré par les utilisateurs, ainsi que tout PII, PHI ou informations financières. Cependant, dans cette catégorie, Google ne classe pas les données de localisation, les fichiers internes non sensibles ou toute exposition de données non directement causée par les applications de Google.
• Redirections d’intention
• Traversée de chemin
• Autorisations orphelines
• Vulnérabilités déclenchées en raison d’une utilisation non sécurisée d’intentions en attente

Encore une fois, les problèmes de sécurité tels que les clés codées en dur, les bogues de faible gravité trivialement exploitables, les variantes StrandHogg et les attaques dues à l’enracinement de l’appareil ne sont pas éligibles pour Mobile VRP.

En ce qui concerne les récompenses, Google a partagé une répartition détaillée des primes pour différents niveaux d’application (y compris les niveaux 2 et 3). Les récompenses les plus élevées (30 000 $) sont réservées aux failles d’exécution de code arbitraire à distance (ne nécessitant aucune interaction de l’utilisateur) dans les applications de niveau 1. Alors que de tels ACE dans les applications de niveau 2 et de niveau 3 récompenseront les chercheurs avec 25 000 $ et 20 000 $, respectivement.

Plus de détails sur Mobile VRP sont disponibles sur la page Règles, que les chercheurs intéressés peuvent visiter pour apprendre et tirer parti de cette nouvelle opportunité lucrative.

Cette décision est intervenue peu de temps après que Google a annoncé des mises à niveau majeures de son VRP pour le système et les appareils Android. Avec ces mises à jour, Google visait à mieux résoudre les problèmes de sécurité signalés.

Faites-nous part de vos réflexions dans les commentaires.