IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Google va payer 1,5 million de dollars pour les exploits les plus critiques sur Android

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 000
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 000
    Points : 208 125
    Points
    208 125
    Par défaut Google va payer 1,5 million de dollars pour les exploits les plus critiques sur Android
    Google va payer 1,5 million de dollars pour les exploits les plus critiques sur Android,
    dans le cadre de son programme Android Security Rewards

    C'est en 2015 que Google a lancé le programme Android Security Rewards (ASR) pour récompenser les chercheurs qui détectent et signalent des problèmes de sécurité afin de préserver la sécurité de l'écosystème Android. Au cours des quatre dernières années, l'éditeur a attribué plus de 1800 rapports et versé plus de quatre millions de dollars.

    Mais la filiale d'Alphabet fait monter les enchères et introduit dans la liste des récompenses pécuniaires un lot de 1 million de dollars pour un exploit de chaîne complet avec persistance d'exécution de code à distance qui compromet l'élément sécurisé Titan M sur les appareils Pixel. En outre, Google va lancer un programme spécifique offrant un bonus de 50 % pour les exploits trouvés sur des préversions Android spécifiques aux développeurs, ce qui signifie que le premier prix de l'ASR est désormais de 1,5 million de dollars.

    Outre les exploits impliquant Pixel Titan M, Google a ajouté d’autres catégories d’exploits au programme de récompenses, tels que ceux impliquant l’exfiltration de données et le contournement de l'écran de verrouillage. Ces récompenses peuvent atteindre 500 000 dollars selon la catégorie d’exploit.

    Le gros gain de récompense coïncide avec les investissements que Google a consacrés à la sécurisation du Pixel. Le Titan M est une puce conçue par Google qui est séparée physiquement du jeu de puces principal de l’appareil. À bien des égards, cela ressemble à Secure Enclave dans les iPhone ou à TrustZone dans les appareils dotés d’un processeur Arm. Le Titan M est une version mobile de la puce Titan introduite par Google en 2017.

    Nom : titan.jpg
Affichages : 1354
Taille : 9,4 Ko

    Le Titan M exerce quatre fonctions principales, à savoir :
    • stocker la dernière version sûre d’Android connue pour s’assurer que les pirates ne peuvent pas obliger le bootloader (programme validant et chargeant Android lorsque le téléphone s'allume) à appeler une version malveillante ou obsolète du système d'exploitation ;
    • vérification du mot de passe ou du modèle de l'écran de verrouillage, en limitant le nombre de tentatives de connexion infructueuses pouvant être effectuées et en sécurisant la clé de chiffrement du disque de l'appareil ;
    • stockage de clés privées et sécurisation des opérations sensibles d'applications tierces, telles que celles utilisées pour effectuer des paiements ;
    • empêcher toute modification du micrologiciel à moins de saisir un code ou un modèle.

    Titan M a été introduit pour la première fois en 2018 avec le lancement du Pixel 3. Il fait également partie du récent Pixel 3a et fera également partie du prochain Pixel 4. Les modèles Pixel 2 s'appuient sur un modèle moins robuste module de sécurité matériel dédié. Les exploits divulgués le mois dernier ont été en mesure d’exécuter à distance un code malveillant sur un éventail de téléphones Android, notamment les Pixel 1, Pixel 1 XL, Pixel 2 et Pixel 2 XL, mais pas le Pixel 3. Cependant, le Titan M n'a pas été l'outil qui a empêché les attaques sur le Pixel 3. La raison en était que les Pixels 3 et 3a avaient reçu des correctifs Linux que les Pixels vulnérables n'avaient pas.

    Au cours des quatre années écoulées depuis le lancement du programme Android Security Rewards, plus de 1800 rapports ont rapporté plus de 4 millions de dollars. Plus de 1,5 million de dollars ont été payés au cours des 12 derniers mois. Plus de 100 chercheurs participants ont reçu une récompense moyenne supérieure à 3 800 $ par découverte (augmentation de 46 % par rapport à l'année dernière). En moyenne, cela signifie que Google a déboursé plus de 15 000 $ (augmentation de 20% par rapport à l'année dernière) par chercheur ! La récompense maximale versée en 2019 était de 161 337 $, qui a été payée à Guang Gong de Alpha Lab de Qihoo 360 Technology pour une chaîne d’exploitation d’exécution de code à distance en un clic sur un Pixel 3. Il a également obtenu une récompense supplémentaire du programme Chrome Rewards qui s'élevait à 40 000 $ pour un total de 201 337 $. La récompense combinée de 201 337 $ est également la récompense la plus élevée pour une seule chaîne d’exploitation parmi tous les programmes Google VRP. Les vulnérabilités de Chrome utilisées dans ce rapport ont été corrigées dans Chrome 77.0.3865.75 et ont été publiées en septembre, protégeant ainsi les utilisateurs contre cette chaîne d’exploit.

    Les nouvelles récompenses arrivent près de trois mois après que le courtier tiers en exploitation Zerodium ait commencé à payer 2,5 millions de dollars pour des exploits zero-day capables de compromettre Android, soit une prime de 25 % par rapport aux exploits comparables pour iOS.

    Source : Google

    Et vous ?

    Qu'est-ce qui, selon vous, pourrait avoir contribué à cette situation (une prime de 1,5 million de dollars) ?

    Voir aussi :

    Android : Google dit comment il compte s'arrimer aux versions vanilla du noyau Linux pour éliminer la fragmentation de l'écosystème
    Microsoft décide de supprimer l'application Cortana pour iOS et Android en janvier 2020, pour l'intégrer dans des applications de productivité
    USA : l'enquête visant à déterminer si Google abuse de sa position dominante dans le secteur de la publicité pourrait s'élargir et englober la recherche et Android
    Windows Mobile aurait-il pu s'imposer devant Android ? Oui, d'après Bill Gates qui pointe les enquêtes antitrust contre Microsoft comme frein à la conquête de la filière smartphones

  2. #2
    Invité
    Invité(e)
    Par défaut
    Qu'est-ce qui, selon vous, pourrait avoir contribué à cette situation (une prime de 1,5 million de dollars) ?
    Ben le manque de compétences et de moyen, si google les avait il ne l'aurait pas fait. Ca peut aussi aider à détecter des talents je pense.

Discussions similaires

  1. Réponses: 2
    Dernier message: 21/09/2016, 16h08
  2. Réponses: 3
    Dernier message: 29/09/2015, 11h50
  3. Réponses: 4
    Dernier message: 06/03/2015, 10h59
  4. Réponses: 24
    Dernier message: 27/04/2011, 14h42
  5. Réponses: 0
    Dernier message: 25/04/2011, 17h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo