Google har gjort sin sikkerhed belønning program forfølge målet at gøre deres produkt mere sikkert for alle, da 2010. Sidste år investeret mere end 1.5 million dollars for sikkerhedseksperter der fundet sårbarheder i Chrome og andre Google-produkter.
Den June 16, Jon Larimer, Android Security Engineer, kom op med en meddelelse i et blogindlæg, at selskabet er ved at udvide deres program. Android Sikkerhed belønninger program vil omfatte forskere, der vil finde, rette op, og holde sårbarheder ud af Android, specifikt.
Gennem dette program, de giver økonomiske belønninger og offentlig anerkendelse for sårbarheder afsløret til Android Security Team. Erstatningen niveau er baseret på fejlen hårdhed og øger til højere kvalitetsrapporter, der omfatter reproduktion kode, testcases, og patches.
Produkter omfattet af præmieprogrammet
Virksomheden starter de projekt covering sikkerhedshuller opdaget i de seneste tilgængelige Android-versioner. Nexus 6 og Nexus 9 telefoner, tabletter, der er tilgængelige i Google Play Store i US. er hyret. Pakken af enheder inkluderet ændrer dens anvendelsesområde med tiden. Endvidere, dette trin tager Nexus i forgrunden af mobile enheder til at tilbyde et igangværende sårbarhed belønninger program.
Android Security Rewards dækning af godkendte fejl i koden omfatter dem i AOSP kode, OEM-kode, essensen, og TrustZone OS og moduler. Programmet er relevant for kodekser for egnede anordninger, og Google kan ikke dække det af andre belønning programmer. Sårbarheder i andre ikke-Android kode kan være støtteberettigede, hvis de påvirker sikkerheden i Android OS.
Sårbarheder, der kun virker på andre Google-enheder såsom Nexus Player, Project Tango, eller Android Wear er ikke berettiget til Android Security Rewards.
Kvalificerede Sårbarheder Overdækket
Kom en belønning af sårbarhed betænkning kræves opfylde nogle få regler:
- Kun den første rapport af en særlig sårbarhed vil blive belønnet.
- Bugs oprindeligt offentliggjort, eller til en tredjepart til andre formål end rette fejlen mål, vil typisk ikke kvalificere sig til en belønning. Google giver mod til den ansvarlige annoncering og mener en ansvarlig erklæring er en tovejs ting.
→”Det er vores pligt at rette alvorlige fejl inden for en rimelig tidshorisont,” Google Company hedder i et blogindlæg.
Et par Klasser af Sårbarheder Are Not qualifed til en belønning:
- Phishing-angreb, der involverer tricking brugeren til ind legitimationsoplysninger. Med andre ord, problemer, der kræver komplekse brugerinteraktion.
- Angreb, der omfatter narre brugeren til at trykke på et UI element som Tap-jacking og UI-genoprettelse.
- Spørgsmål, der kræver debugging adgang (ADB) til enheden eller kun påvirker brugeren debug bygger.
- Bugs, der forårsager en app til at gå ned.
Definition af Reward Mængde
Google vil betale for hvert trin opfyldt for at fastsætte en sikkerhed bug: $500 til moderat hårdhed; $1,000 for høj; og $2,000 for kritisk. De, der investerer i pletter og tests vil være berettiget til en endnu større payday: op mod $8,000 for en CTS test til påvisning af et centralt emne, og en patch til at ordne det.
Afslutningsvis, Google-teamet erklærer, at de vil holde på at undersøge, arbejde og investere i deraf følgende forsker at finde sårbarheder i Android.