Voilà un an que le système d'exploitation Android a fait son entrée dans le programme Google VulnerabilityRewards et Google dresse le bilan. A la base, ce programme ne ciblait que les smartphones Nexus mais le programme concerne de plus en plus Android lui-même, un système souvent critiqué comme étant peu sûr. Google profite de ce bilan, pour motiver les white hackers à aider à renforcer la sécurité de son OS 

En un an, Google a versé 550 000 dollars de primes de récompenses, réparties sur 82 personnes. Le record est détenu par @heisecode qui a reçu 75 750 dollars. Le montant maximum d'une seule vulnérabilité est de 30 000 dollars, à condition que cette faille touche la TrustZone ou le Verified Boot. Personne n'a encore empoché cette prime, pas même @heisecode qui pour arriver à son record, a identifié 26 vulnérabilités au total.

Parmi les récompensés, 15 chercheurs ont empoché 10 000 dollars ou plus. La récompense moyenne pour une vulnérabilité est de 2 200 dollars et le gain moyen par chercheur est de 6 700 dollars.

Autant de chiffres étalés par Google pour motiver les troupes et inciter les chercheurs à continuer à contribuer à la sécurité d'Android. Et comme l'argent est le nerf de la guerre, Google augmente les récompenses pour l'occasion.

Les primes pour les vulnérabilités sont augmentées de 33% si les rapports sont accompagnés d'une preuve de concept. Les primes pour les rapports accompagnés en outre d'un test CTS sont augmentées de 50%. Les vulnérabilités concernant le noyau (exploit distant ou local) vont de 20 000 à 30 000 dollars. Quand aux récompenses pour des vulnérabilités découvertes dans la TrustZone ou le Verified Boot, celles-ci passent de 30 000 à 50 000 dollars.

Hackers à vos claviers ! :-)