Google va payer 1,5 million de dollars pour les exploits les plus critiques sur Android,
dans le cadre de son programme Android Security Rewards
C'est en 2015 que Google a lancé le programme Android Security Rewards (ASR) pour récompenser les chercheurs qui détectent et signalent des problèmes de sécurité afin de préserver la sécurité de l'écosystème Android. Au cours des quatre dernières années, l'éditeur a attribué plus de 1800 rapports et versé plus de quatre millions de dollars.
Mais la filiale d'Alphabet fait monter les enchères et introduit dans la liste des récompenses pécuniaires un lot de 1 million de dollars pour un exploit de chaîne complet avec persistance d'exécution de code à distance qui compromet l'élément sécurisé Titan M sur les appareils Pixel. En outre, Google va lancer un programme spécifique offrant un bonus de 50 % pour les exploits trouvés sur des préversions Android spécifiques aux développeurs, ce qui signifie que le premier prix de l'ASR est désormais de 1,5 million de dollars.
Outre les exploits impliquant Pixel Titan M, Google a ajouté d’autres catégories d’exploits au programme de récompenses, tels que ceux impliquant l’exfiltration de données et le contournement de l'écran de verrouillage. Ces récompenses peuvent atteindre 500 000 dollars selon la catégorie d’exploit.
Le gros gain de récompense coïncide avec les investissements que Google a consacrés à la sécurisation du Pixel. Le Titan M est une puce conçue par Google qui est séparée physiquement du jeu de puces principal de l’appareil. À bien des égards, cela ressemble à Secure Enclave dans les iPhone ou à TrustZone dans les appareils dotés d’un processeur Arm. Le Titan M est une version mobile de la puce Titan introduite par Google en 2017.
Le Titan M exerce quatre fonctions principales, à savoir :
- stocker la dernière version sûre d’Android connue pour s’assurer que les pirates ne peuvent pas obliger le bootloader (programme validant et chargeant Android lorsque le téléphone s'allume) à appeler une version malveillante ou obsolète du système d'exploitation ;
- vérification du mot de passe ou du modèle de l'écran de verrouillage, en limitant le nombre de tentatives de connexion infructueuses pouvant être effectuées et en sécurisant la clé de chiffrement du disque de l'appareil ;
- stockage de clés privées et sécurisation des opérations sensibles d'applications tierces, telles que celles utilisées pour effectuer des paiements ;
- empêcher toute modification du micrologiciel à moins de saisir un code ou un modèle.
Titan M a été introduit pour la première fois en 2018 avec le lancement du Pixel 3. Il fait également partie du récent Pixel 3a et fera également partie du prochain Pixel 4. Les modèles Pixel 2 s'appuient sur un modèle moins robuste module de sécurité matériel dédié. Les exploits divulgués le mois dernier ont été en mesure d’exécuter à distance un code malveillant sur un éventail de téléphones Android, notamment les Pixel 1, Pixel 1 XL, Pixel 2 et Pixel 2 XL, mais pas le Pixel 3. Cependant, le Titan M n'a pas été l'outil qui a empêché les attaques sur le Pixel 3. La raison en était que les Pixels 3 et 3a avaient reçu des correctifs Linux que les Pixels vulnérables n'avaient pas.
Au cours des quatre années écoulées depuis le lancement du programme Android Security Rewards, plus de 1800 rapports ont rapporté plus de 4 millions de dollars. Plus de 1,5 million de dollars ont été payés au cours des 12 derniers mois. Plus de 100 chercheurs participants ont reçu une récompense moyenne supérieure à 3 800 $ par découverte (augmentation de 46 % par rapport à l'année dernière). En moyenne, cela signifie que Google a déboursé plus de 15 000 $ (augmentation de 20% par rapport à l'année dernière) par chercheur ! La récompense maximale versée en 2019 était de 161 337 $, qui a été payée à Guang Gong de Alpha Lab de Qihoo 360 Technology pour une chaîne d’exploitation d’exécution de code à distance en un clic sur un Pixel 3. Il a également obtenu une récompense supplémentaire du programme Chrome Rewards qui s'élevait à 40 000 $ pour un total de 201 337 $. La récompense combinée de 201 337 $ est également la récompense la plus élevée pour une seule chaîne d’exploitation parmi tous les programmes Google VRP. Les vulnérabilités de Chrome utilisées dans ce rapport ont été corrigées dans Chrome 77.0.3865.75 et ont été publiées en septembre, protégeant ainsi les utilisateurs contre cette chaîne d’exploit.
Les nouvelles récompenses arrivent près de trois mois après que le courtier tiers en exploitation Zerodium ait commencé à payer 2,5 millions de dollars pour des exploits zero-day capables de compromettre Android, soit une prime de 25 % par rapport aux exploits comparables pour iOS.
Source : Google
Et vous ?
Qu'est-ce qui, selon vous, pourrait avoir contribué à cette situation (une prime de 1,5 million de dollars) ?
Voir aussi :
Android : Google dit comment il compte s'arrimer aux versions vanilla du noyau Linux pour éliminer la fragmentation de l'écosystème
Microsoft décide de supprimer l'application Cortana pour iOS et Android en janvier 2020, pour l'intégrer dans des applications de productivité
USA : l'enquête visant à déterminer si Google abuse de sa position dominante dans le secteur de la publicité pourrait s'élargir et englober la recherche et Android
Windows Mobile aurait-il pu s'imposer devant Android ? Oui, d'après Bill Gates qui pointe les enquêtes antitrust contre Microsoft comme frein à la conquête de la filière smartphones
Partager