Google Play Security Reward Program : Nouveau bug bounty pour les apps Android

1
142
Sécurité Google Play - Malwares

Né du partenariat entre Google et HackerOne, le bug bounty Google Play Security Reward Program permet dorénavant aux chercheurs en sécurisé d’être récompensés pour le report de vulnérabilités découvertes dans des applications présentes sur le Play Store.

Voici donc ouvert le tout nouveau programme de récompense de sécurité Google Play. Par ce biais, Google étend son programme de bug bounty aux applications Android populaires présentes sur le Play Store, en plus des programmes déjà présents pour son navigateur Chrome et son OS Android. Des primes de 1 000 dollars par faille admissible (limité aux défauts d’exécution de code à distance RCE sous Android 4.4 et versions supérieures) découverte sont prévues pour les chercheurs.

Le programme prend en compte les vulnérabilités permettant notamment de télécharger et d’exécuter du code malveillant à distance, de manipuler l’interface utilisateur pour provoquer une transaction frauduleuse ou d’ouvrir une page Web dans une application pour réaliser du phishing. Il n’est pas nécessaire que l’exploit puisse contourner la sandbox d’Android.

Pour le moment, seules les apps les plus populaires du Play Store sont concernées par le Google Play Security Reward : Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat et Tinder. D’autres applications pourraient être intégrées ultérieurement.

Bien entendu, il s’agit là d’une démarche étique, et les chercheurs détectant un bug doivent se conformer aux règles strictes. Ainsi, le signalement de la faille au développeur concerné doit être le point de départ. Pour cela, l’espace bug bounty embarque un système de signalement relié directement aux entreprises participantes au programme. Une fois la correction effectuée par l’éditeur de l’application concernée, le chercheur fait remonter l’information au programme Play Security afin de valider l’attribution du signalement et la validation (ou non) pour le versement de la prime sous réserve que la vulnérabilité reportée respecte bien les conditions du programme.

Le but est clairement de dynamiser la recherche de failles au sein des apps Android et d’augmenter le niveau de sécurité de ces dernières ainsi que, plus globalement, de tout l’écosystème Android.

 

Source : ZDNet

Les commentaires sont fermés.