La société mère de Facebook, Meta, met à jour son programme de bug bounty pour ajouter des produits matériels de sa division métaverse Reality Labs, y compris ses lunettes intelligentes Quest 2, Portal et Ray-Ban Stories, a annoncé vendredi la société. L’œuvre jouera un rôle important dans son « voyage pour aider à construire le métavers », selon un communiqué de presse.

Le communiqué de presse a souligné que les soumissions vérifiées de bogues Ray-Ban Stories sont éligibles pour des récompenses, ce qui, espère-t-il, incitera davantage de chercheurs à « analyser les lunettes et nos autres périphériques matériels ». La récompense minimale pour la découverte d’un bogue est de 500 $, et les montants augmentent en fonction de l’appareil et de l’impact potentiel du bogue découvert. Le plus gros gain répertorié est de 30 000 $, mais pourrait aller encore plus haut à la discrétion de l’entreprise, pour les bogues qui pourraient potentiellement entraîner des risques pour la santé, la sécurité ou la confidentialité.

Meta a proposé une liste de bugs hypothétiques et à quoi pourraient ressembler les paiements :

Un problème qui permettrait à une application tierce malveillante d’injecter du contenu qui est ensuite consommé par une application propriétaire, comme des images dans un diaporama ou de l’audio dans un appel, recevrait un paiement d’environ 1 000 $ sous la rubrique « Problèmes causés par des applications tierces malveillantes »

Une application tierce obtenant l’accès au microphone sans le demander sur un appareil Quest recevrait un paiement de 5 000 $ sous la rubrique « Accès non autorisé au micro par une application tierce ».

Une application tierce sur Quest capable de planter ou de désactiver Guardian recevrait un paiement de 3 000 $ sous « DoS »

L’exécution de code à distance via un débordement de tampon dans la bibliothèque de chat vocal Quest, l’exécution dans une application propriétaire privilégiée recevrait un paiement de 16 000 $.

La société a mis en place son programme de primes de bogues pour la première fois en 2011 et affirme avoir joué un rôle déterminant dans la recherche et la correction des bogues, avec près de 2 millions de dollars de récompenses versées aux chercheurs en sécurité l’année dernière, selon un article de blog du responsable de l’ingénierie de la sécurité de l’entreprise, Dan Gurfinkel.

La liste complète des paiements et les directives peuvent être trouvées ici.