Google hat seine Sicherheit Lohn-Programm verfolgt das Ziel war, die ihr Produkt sicherer für alle zu machen, da 2010. Im vergangenen Jahr investierten sie mehr als 1.5 Millionen Dollar für Sicherheitsexperten, die Sicherheitslücken in Chrome und andere Google-Produkte gefunden.
Im Juni 16, Jon Larimer, Android Security Engineer, kam mit einer Ankündigung in einer Blog-Post auf, dass die Gesellschaft ihr Programm erweitert. Android Security Rewards-Programm werden die Forscher enthalten, die finden, befestigen, und halten Schwachstellen aus Android, speziell.
Durch dieses Programm, sie bieten finanzielle Anreize und öffentliche Anerkennung für Anfälligkeiten im Android Security Team enthüllt. Die Kompensationsstufe basiert auf dem Bug Härte und Boosts für höhere Qualitätsberichte, die Wiedergabe Code enthalten, Testfälle, und Patches.
Produkte enthalten in der Reward Program
Das Unternehmen beginnt die Projektabdeckung Sicherheitslücken in den neuesten verfügbaren Android-Versionen entdeckt. Der Nexus 6 und Nexus 9 Telefone, Tabletten, die in Google Play Store in der US-verfügbar sind. sind eingetragen. Das Paket von Geräten enthalten ist, dessen Umfang im Laufe der Zeit ändern. Weiter, Dieser Schritt nimmt Nexus in dem Vordergrund der mobilen Geräte ein laufendes Verwundbarkeit Belohnungsprogramm bieten.
Android Security Prämien decken qualifizierte Fehler im Code die in AOSP Code enthalten, OEM-Code, die Essenz, und die Trustzone OS und Module. Das Programm ist relevant für Codes geeigneter Vorrichtungen, und Google deckt nicht durch andere Lohn-Programme. Schwachstellen in anderen Nicht-Android-Code kann in Betracht, wenn sie die Sicherheit des Android OS auswirken.
Schwachstellen, die nur wirken auf andere Google-Geräte wie Nexus Player, Project Tango, oder Android Wear ist nicht für Android Security Prämien.
Qualifikation Vulnerabilities Covered
eine Belohnung von Verwundbarkeit Bericht Erste erfordert ein paar Regeln zu erfüllen:
- Nur der erste Bericht über eine besondere Schwachstelle wird belohnt.
- Bugs zunächst veröffentlicht, oder zu einem Dritt für andere Ziele als den Fehler behebt, wird in der Regel nicht für eine Belohnung in Frage kommen. Google gibt Mut an die verantwortliche Ankündigung und glaubt, eine verantwortungsvolle Aussage ist ein bidirektionaler Sache.
→„Es ist unsere Pflicht, ernsthafte Fehler zu beheben innerhalb eines angemessenen Zeitrahmens,” Google Firma heißt es in einem Blog-Post.
Ein paar Klassen von Schwachstellen sind nicht für eine Belohnung Qualifed:
- Phishing-Attacken, die den Benutzer in die Eingabe Berechtigungsnachweise beinhalten austricksen. Mit anderen Worten, Probleme, die komplexe Interaktion mit dem Benutzer erforderlich.
- Angriffe, die den Benutzer in Antippen eines UI-Element als Tap-Jacking und UI-Abrichten umfassen tricking.
- Probleme, die Debug-Zugang erfordern (ADB) auf das Gerät oder wirken sich nur auf Benutzer Debugbuilds.
- Bugs, die eine App zum Absturz bringen.
Definieren des Reward Amount
Google wird für jeden Schritt zahlen erfüllt eine Sicherheitslücke zu beheben: $500 für moderate Härte; $1,000 für hohe; und $2,000 für kritische. Diejenigen, die in Patches und Tests investiert, für einen noch größeren Zahltag in Betracht: aufwärts $8,000 für einen CTS-Test ein wichtiges Thema und einen Patch zu erkennen, um es zu beheben.
Abschließend, das Google-Team erklärt, dass sie zu der Untersuchung halten, arbeiten und investieren in ensuant erforscht Schwachstellen in Android zu finden.