Google prend la confiance et arrête de payer pour sécuriser les applications Android
Google va mettre fin au programme de chasse aux bugs d'applications Android qui rémunère les chercheurs avec des primes. Le géant de la recherche compte s'appuyer à la place sur l'évolution des fonctions de sécurité d'Android devenues plus robustes au fil des ans.
- Allez aussi voir les conseils de la NSA pour prévenir les attaques zero-click
Pourquoi Google dispose-t-il d'un programme de chasse aux bugs?
Pour commencer, le programme Google Play Service Reward Program ou GPSRP a été lancé en 2017. Il a incité les chercheurs et les chasseurs de bugs individuels à découvrir et à divulguer des failles de sécurité ou des vulnérabilités dans les applications Android. Il s'agit d'un programme distinct de l'autre programme de Google, centré sur le hardware.
Les découvertes du GPSRP vont d'une forme d'exécution de code à distance à l'exposition possible de données sensibles. Elles passent aussi par d'autres types de failles de sécurité dans les applications les plus populaires et les plus importantes. Plus les vulnérabilités découvertes sont complexes et critiques, plus le montant versé est élevé, avec des récompenses pouvant aller jusqu'à 20 000 dollars.
Depuis sa création, Google a indiqué que le GSPRP avait contribué à des améliorations significatives de la sécurité et qu'il s'était révélé très utile. Le dernier rapport annuel souligne que Google a arrêté 2,28 millions d'applications violant la vie privée et banni environ 333 000 comptes de développeurs malveillants en 2023.
En outre, Google a rejeté plus de 200 000 soumissions d'applications qui n'adhèrent pas aux protocoles de sécurité et de contrôle des autorisations d'Android.
Les données du programme ont également permis à Google d'apporter des améliorations essentielles à ses outils de sécurité. Notamment, en dotant Play Protect d'une fonction d'analyse des malwares en temps réel, qui fonctionne même lors du sideloading d'applications. Malgré cela, Android 15 est livré avec une API Play Integrity mise à jour et des fonctions de sécurité basées sur l'IA.
Google a expliqué (via Android Authority) que sa décision de retirer le GSPRP a été attribuée à la "posture d'augmentation globale" dans Android. Dans le même temps, il a ajouté que le nombre de vulnérabilités qu'il a reçues a diminué récemment, ce qui indique l'efficacité des mesures mises en œuvre.
Le programme devrait prendre fin le 31 août 2024. Toutefois, la société a indiqué qu'elle examinerait toutes les soumissions qu'elle a reçues et qu'elle prévoyait d'annoncer la décision finale concernant ces rapports d'ici le 30 septembre 2024.
Comment protégez-vous votre appareil contre les failles de sécurité? Avez-vous installé des mesures de protection spécifiques?
Source : Android Authority
