Google a lancé un nouveau programme de chasse aux bogues, cette fois dans le cadre de sa quête d’amélioration de la sécurité d’Android. La particularité de ce programme est qu’il n’est pas destiné à couvrir les applications de Google seulement, mais aussi celles publiées par des développeurs tiers sur le Play Store.
Le nouveau programme de Google s’appelle Play Security Reward Program, il est destiné à récompenser les hackers qui arrivent à trouver des failles permettant l'exécution de code à distance dans des applications populaires d’Android tournant sous Android 4.4 ou une version plus récente. Ce n’est pas la première fois que le géant de la recherche lance un programme similaire, puisque d’autres programmes ont été lancés pour Chrome, Chrome OS, les sites et applications de Google ainsi que les appareils Pixel.
Par ce programme, Google n’entend pas remplacer les propres efforts des développeurs pour éradiquer les bogues dans leurs applications, mais plutôt à donner aux chercheurs de sécurité une autre incitation pour trouver et corriger des failles sur Android. En effet, toutes les applications faisant partie du programme doivent avoir leur propre programme, et les chercheurs de sécurité sont invités à s’inscrire pour recevoir la récompense de Google seulement après que le développeur concerné a rendu publique la vulnérabilité. Une fois rendue publique, le hacker a 90 jours pour solliciter le prix de Google. Ce programme de chasse aux bogues offre actuellement un seul paiement de 1000 dollars pour les failles d’exécution de code à distance.
Pour le moment, seulement huit différents développeurs ont été approuvés pour faire partie du programme : Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.ru, Snapchat, et Tinder. Mais Google a informé que d’autres applications et développeurs vont venir s’ajouter au programme.
Les chercheurs de sécurité doivent envoyer des preuves montrant comment un attaquant peut exploiter la faille pour contrôler l’appareil ou exploiter des failles avec la manipulation UI en vue de réaliser une transaction. Une fois les failles rapportées, les chercheurs doivent travailler avec les développeurs afin de corriger les bogues. Après l’émission de patchs, l’équipe de sécurité d’Android envoie la récompense au chercheur. Selon Google, non seulement les applications et les développeurs vont bénéficier de ce programme, mais aussi tout l’écosystème d’Android.
Alors que l’OS mobile de Google célèbre son neuvième anniversaire, la question de sécurité continue de plomber Android. Toutefois, à travers des programmes comme celui-ci, Google entend renforcer davantage la sécurité de la plateforme. Le Play Security Reward Program sera hébergé dans HackerOne, la plateforme populaire de chasse aux bogues.
Source : blog Google
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Forum Android
Google lance un nouveau programme de chasse aux bogues dans les applications Android
Publiées par des développeurs tiers
Google lance un nouveau programme de chasse aux bogues dans les applications Android
Publiées par des développeurs tiers
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !