Facebook a annoncé vendredi qu’il offrait des récompenses importantes via son programme de bug bug pour les vulnérabilités trouvées dans Hermes et Spark AR.

Hermes est un moteur JavaScript que Facebook a publié il y a un an. Hermes est utilisé par les applications React Native du géant des médias sociaux pour Android et d’autres logiciels, y compris Spark AR, une plate-forme de réalité augmentée utilisée pour créer des effets sur Facebook, Instagram et même sur les écrans intelligents du portail Facebook.

Les vulnérabilités trouvées dans le code natif de Facebook ont ​​été couvertes par son programme de bug bounty, mais la société dit qu’elle souhaite encourager les chercheurs en sécurité à analyser Hermes et Spark AR, c’est pourquoi il a considérablement augmenté les primes de bug.

Par exemple, un pirate informatique peut gagner 25 000 $ s’il signale une vulnérabilité ou une chaîne d’exploit qui permet l’exécution de code à distance lors de l’exécution d’un effet Spark AR. L’exploit peut cibler directement la plate-forme Spark AR ou la machine virtuelle Hermes JavaScript.

«Le montant peut être ajusté en fonction du bug et de l’exploit particuliers. Par exemple, une chaîne d’exploit manquant un contournement ASLR peut entraîner un paiement légèrement inférieur. De même, une écriture en dehors des limites où il n’y a pas de chemin clair vers RCE recevra un paiement inférieur », a expliqué Facebook.

Une vulnérabilité qui permet à un attaquant de lire les données utilisateur peut valoir en moyenne 15 000 $. Les failles de déni de service (DoS) résultant de bogues de lecture ou d’écriture hors limites peuvent rapporter aux chercheurs entre 500 et 3000 dollars.

Ils peuvent également gagner un bonus allant jusqu’à 15 000 $ s’ils fournissent un exploit complet de preuve de concept (PoC), ce qui signifie qu’ils pourraient recevoir 40 000 $ pour une vulnérabilité d’exécution de code à distance.

L’année dernière, Facebook a versé plus de 2,2 millions de dollars via son programme de bug bounty, et un total de près de 10 millions de dollars depuis le lancement de son programme en 2011.

Connexes: Facebook Awards Researcher 20 000 $ pour le compte …