Les problèmes de sécurité et les vulnérabilités du système sont le fléau des logiciels modernes, permettant aux acteurs malveillants de faire des ravages. Cependant, Google a un programme de récompenses contre les vulnérabilités (VRP) encourageant les chercheurs en sécurité à détecter les problèmes et à garder des produits comme Android sûrs pour tout le monde. Cependant, la société a récemment annoncé des changements au VRP, comme un nouveau système d’attribution CVE, et des paiements révisés pour les entités découvrant des bogues graves.
Comme la plupart des entreprises qui protègent les logiciels pour les utilisateurs, Google associe les identifiants CVE aux bogues – des identifiants uniques divulgués publiquement pour les problèmes, afin que les chercheurs puissent coordonner leurs efforts pour créer des correctifs. Spécialiste Android Mishaal Rahman a récemment mis en lumière une nouvelle Article du blog sur la sécurité Google expliquant qu’Android n’attribuera plus de CVE aux problèmes de gravité les plus modérés, tandis que les vulnérabilités de gravité élevée et critiques obtiendront toujours des ID CVE. Cela signifie que notre couverture de mises à jour de sécurité pour les téléphones Pixel aura moins de CVE et de problèmes à mentionner, à moins que Google n’attribue de temps en temps des identifiants à des problèmes modérés.
Comment Google décide-t-il de ce qui est de gravité modérée, demandez-vous ? L’attribution de la gravité aux problèmes soumis est toujours à la discrétion de Google, mais est régie par un ensemble de règles plutôt bien définies évaluant la portée de la vulnérabilité.
À ne pas confondre avec l’échelle en trois points de la gravité des bogues, Google a une nouvelle échelle en trois points appelée « système d’évaluation de la qualité » intégrée dans le VRP. Il encourage les chercheurs en sécurité à soumettre des rapports de bogues bien documentés, afin qu’ils puissent être recréés et traités efficacement. Google a établi un liste des attentes pour les éléments qu’un rapport de bogue doit contenir, y compris une description détaillée, une analyse approfondie des causes profondes, une démonstration du problème, des instructions pour le recréer et des preuves des privilèges dangereux que les acteurs malveillants pourraient obtenir.
Le titan de la recherche a également modifié le paiement maximum pour la découverte des vulnérabilités critiques des appareils Android et Google. Les chercheurs pourraient réclamer jusqu’à 15 000 $ s’ils en trouvent un et soumettent une soumission détaillée. Pendant ce temps, les chaînes d’exploitation complètes comme celles que ces mauvais acteurs utilisent dans la nature sont éligibles à des récompenses allant jusqu’à 1 000 000 $. Les soumissions de rapports de gravité modérée seront récompensées jusqu’à 250 $, et il n’y a pas de récompense pour les rapports de faible gravité.
Google affirme avoir mis en vigueur ces modifications du VRP Android à partir du 15 mars 2023. Les taux révisés de primes de bogues sont meilleurs maintenant, mais il est essentiel que la balance reste inclinée de cette façon, car de telles vulnérabilités atteignent également des prix élevés sur les marchés fréquentés par hackers et cybercriminels.
Les exigences de Google pour un bon rapport de bogue ne sont pas trop demander, mais avec des informations inadéquates et aucune récompense pour les petits problèmes, on pourrait dire que beaucoup de petits problèmes resteront non corrigés. Le manque de CVE pour les problèmes de faible priorité signifie également que Google serait la seule entreprise au courant de ces problèmes et en mesure de les résoudre. Moins de CVE sont plus faciles à suivre, mais nous craignons que de petits problèmes sans identifiants ne passent entre les mailles du filet.
