Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Google now offers up to $1.5 million for some Android exploits

1 minute de lecture

Mis à jour :

Refonte des programmes de primes aux vulnérabilités de Google

Google restructure ses programmes de primes (VRP) pour Android et Chrome afin d’adapter les récompenses à l’ère de l’intelligence artificielle. Si les montants pour les vulnérabilités faciles à détecter sont réduits, ceux alloués aux failles critiques et complexes atteignent désormais des sommets, avec un record de 1,5 million de dollars.

Points clés

  • Récompenses record : Jusqu’à 1,5 million de dollars pour des exploits « zero-click » sur la puce de sécurité Pixel Titan M2 avec persistance.
  • Focus Chrome : Jusqu’à 500 128 $ pour des exploits complets sur le processus de navigation, incluant un bonus spécifique pour contourner les protections mémoire MiraclePtr.
  • Impact de l’IA : Les rapports de bugs longs et descriptifs sont moins valorisés, car Google automatise désormais l’analyse et la correction grâce à l’IA. L’accent est mis sur des preuves de concept (PoC) concrètes.
  • Évolution des paiements : En 2025, Google a versé 17,1 millions de dollars aux chercheurs, soit une hausse de 40 % par rapport à 2024.

Vulnérabilités ciblées

  • Le programme ne mentionne pas de CVE spécifiques, mais cible des vecteurs d’attaque de haut niveau :
    • Android : Exploits « zero-click » avec persistance sur la puce Titan M2 et vulnérabilités du noyau Linux dans les composants maintenus par Google.
    • Chrome : Exploits de chaîne complète (« full-chain ») ciblant le processus de rendu et le bac à sable (sandbox) du système d’exploitation.

Recommandations pour les chercheurs

  • Prioriser la qualité technique : Privilégier la fourniture de preuves de concept (PoC) exploitables et d’artefacts essentiels plutôt que des rapports textuels longs.
  • Ciblage spécifique : Pour Android, concentrer les efforts de recherche sur les composants gérés directement par Google afin de garantir l’admissibilité au programme.
  • Démonstration d’exploitabilité : Pour les failles du noyau Linux, démontrer systématiquement l’exploitabilité concrète sur les appareils Android pour prétendre aux récompenses.

Source

Vous pourriez aimer