Promesses de l'Est : leçons sur les VRP mobiles pour les chasseurs de bugs 🇫🇷
Ces dernières années, nous avons testé les programmes de récompense pour vulnérabilités de divers fournisseurs de produits mobiles et de surfaces d'attaque. Comme beaucoup d'autres, nous avons rencontré autant d'échecs que de succès, tirant de précieux enseignements de nos erreurs (et parfois de celles des fournisseurs). Dans cette présentation, nous nous concentrerons sur les enseignements à tirer de tout cela. Il s'agit notamment de savoir comment choisir ou non une surface d'attaque ou un modèle de produit, comment décider sur quoi renoncer et sur quoi miser, et comment optimiser les décisions communiquées par les fournisseurs et les mises à jour de sécurité qu'ils publient. Pour un contenu technique, nous reviendrons sur notre base de données de vulnérabilités Android et aborderons certaines de nos précédentes soumissions de VRP afin d'en tirer les leçons.
Laszlo RadnaiLaszlo Szapula (LaTsa) Laszlo Szapula (LaTsa) a débuté son stage chez TASZK Security Labs et est désormais membre à temps plein de l'équipe de recherche sur les vulnérabilités, où il convertit les projets Ghidra et Club Mates en code de rétro-ingénierie. Il se concentre sur la sécurité de bas niveau des smartphones Android, notamment le noyau, les hyperviseurs, les zones de confiance et les bandes de base. En tant que présentateur, il a notamment animé des formations sur l'exploitation mobile lors de conférences comme OffensiveCon et Hardwear.io.
