Google a fait son programme de récompense de la sécurité en poursuivant le but de rendre leur produit plus sûr pour tout le monde depuis 2010. L'année dernière, ils ont investi plus de 1.5 millions de dollars pour les chercheurs en sécurité qui ont trouvé des vulnérabilités dans Chrome et d'autres produits Google.
En juin 16, Jon Larimer, Ingénieur de sécurité Android, est venu avec une annonce dans un billet de blog que la société développe son programme. Android Security Programme de récompenses comprendra des chercheurs qui trouveront, fixer, et conserver des failles sur Android, Plus précisément.
Grâce à ce programme, ils offrent des récompenses financières et la reconnaissance publique des vulnérabilités révélées à l'équipe de sécurité Android. Le niveau de rémunération est basée sur la dureté des bogues et booste pour les rapports de qualité supérieure qui incluent le code de reproduction, cas de test, et des correctifs.
Les produits inclus dans le programme de récompense
La société commence la couverture du projet des failles de sécurité découvertes dans les dernières versions Android disponibles. le Nexus 6 et Nexus 9 Téléphone (s, Les comprimés qui sont disponibles dans Google Play Store dans le U.S. sont enrôlés. Le pack de dispositifs inclus changera sa portée au fil du temps. En outre, cette étape prend Nexus au premier plan de dispositifs mobiles pour offrir un programme de récompenses de vulnérabilité en cours.
Récompenses de sécurité Android couvrent les bogues éligibles dans le code sont ceux dans le code PSBA, Code OEM, l'essence, et le système d'exploitation et des modules TrustZone. Le programme est pertinent aux codes de dispositifs appropriés, et Google ne couvre pas d'autres programmes de récompense. Des vulnérabilités dans d'autres codes non-Android peuvent être éligibles si leur impact sur la sécurité du système d'exploitation Android.
Les vulnérabilités qui agissent uniquement sur d'autres appareils Google tels que le Nexus Player, Le projet Tango, ou Android Wear ne sont pas admissibles aux primes de sécurité Android.
Vulnérabilités admissibles Covered
Obtenir une récompense du rapport de la vulnérabilité exige l'accomplissement de quelques règles:
- Seul le premier rapport d'une vulnérabilité particulière sera récompensée.
- Bugs d'abord rendus publics, ou à un tiers pour d'autres objectifs que la fixation du bug, ne sera généralement pas admissible à une récompense. Google donne du courage à l'annonce responsable et croit une déclaration responsable est une chose bidirectionnelle.
→« Il est de notre devoir de corriger les bugs sérieux dans un délai raisonnable,” Google Société déclare dans un billet de blog.
Quelques classes de vulnérabilités sont pas qualifés pour une récompense:
- attaques de phishing qui impliquent trompant l'utilisateur en entrant les informations d'identification. En d'autres termes, problèmes qui nécessitent une interaction utilisateur complexe.
- Les attaques qui comprennent incitant le utilisateur en appuyant sur un élément d'interface utilisateur comme Tap-levage et de redressement UI.
- Les questions qui nécessitent un accès débogage (BAD) à l'appareil ou seulement affecter le débogage utilisateur construit.
- Bugs qui causent une application de tomber en panne.
Définir le montant de récompense
Google va payer pour chaque étape accomplie pour corriger un bug de sécurité: $500 pour la dureté modérée; $1,000 pour haute; et $2,000 pour critique. Ceux qui investissent dans des correctifs et des tests seront admissibles à un salaire encore plus: vers le haut de $8,000 pour un test CTS pour détecter un problème clé et un patch pour corriger.
En conclusion, l'équipe Google déclare qu'ils vont continuer à enquêter, travailler et investir dans des recherches pour trouver découle pour elles vulnérabilités dans Android.