Promesses de l'Est : leçons sur les VRP mobiles pour les chasseurs de bugs 🇬🇧
Ces dernières années, nous avons testé les programmes de récompense pour vulnérabilités de divers fournisseurs de produits mobiles et de surfaces d'attaque. Comme beaucoup d'autres, nous avons rencontré autant d'échecs que de succès, tirant de précieux enseignements de nos erreurs (et parfois de celles des fournisseurs). Dans cette présentation, nous nous concentrerons sur les enseignements à tirer de tout cela. Il s'agit notamment de savoir comment choisir ou non une surface d'attaque ou un modèle de produit, comment décider sur quoi renoncer et sur quoi miser, et comment optimiser les décisions communiquées par les fournisseurs et les mises à jour de sécurité qu'ils publient. Pour un contenu technique, nous reviendrons sur notre base de données de vulnérabilités Android et aborderons certaines de nos précédentes soumissions de VRP afin d'en tirer les leçons.
Laszlo RadnaiLaszlo Radnai (Rx7) est chercheur en sécurité aux laboratoires de sécurité TASZK.
Il est diplômé du BME avec un MSc en informatique et a développé un intérêt pour le piratage informatique dès le début de ses études.
Depuis, il pirate depuis, s'entraînant grâce aux CTF, s'essayant aux primes aux bugs et se lançant enfin dans
La recherche sur les vulnérabilités était son travail à temps plein. Ses intérêts en matière de sécurité logicielle ont évolué de la cryptographie au web,
à pwning. Son aspect préféré de la recherche offensive est la rétro-ingénierie de l'esprit des développeurs et la détermination
découvrir ce qu’ils ont négligé.Laszlo Szapula (LaTsa) a débuté son stage chez TASZK Security Labs et est désormais membre à temps plein de l'équipe de recherche sur les vulnérabilités, où il convertit les projets Ghidra et Club Mates en code de rétro-ingénierie. Il se concentre sur la sécurité de bas niveau des smartphones Android, notamment le noyau, les hyperviseurs, les zones de confiance et les bandes de base. En tant que présentateur, il a notamment animé des formations sur l'exploitation mobile lors de conférences comme OffensiveCon et Hardwear.io.
