Google is het maken van zijn veiligheid beloning programma nastreven van het doel om hun product veiliger te maken voor iedereen, omdat maken 2010. Vorig jaar investeerden ze meer dan 1.5 miljoen dollar voor de veiligheid onderzoekers dat de gevonden kwetsbaarheden in Chrome en andere Google-producten.
In juni 16, Jon Larimer, Android Security Engineer, kwam met een aankondiging in een blogpost dat het bedrijf is het uitbreiden van hun programma. Android Beveiliging Rewards programma zal omvatten onderzoekers dat zal vinden, repareren, en houd kwetsbaarheden van Android, specifiek.
Via dit programma, zij financiële beloningen en publieke erkenning voor kwetsbaarheden aan het Android Security Team onthulde. De compensatie niveau is gebaseerd op de bug hardheid en verhoogt voor een hogere kwaliteit rapporten die reproductie code bevatten, testcases, en patches.
Producten die zijn opgenomen in de Reward Program
Het bedrijf start het project bekleding beveiligingsproblemen in de laatst beschikbare Android-versies ontdekt. De Nexus 6 en Nexus 9 telefoons, tabletten die beschikbaar zijn in Google Play Store in de U.S. zijn ingeschreven. Het pakket van de apparaten die worden geleverd bij aanvang van toepassing na verloop van tijd veranderen. Bovendien, deze stap neemt Nexus op de voorgrond van mobiele apparatuur voor een voortdurende kwetsbaarheid beloningen programma aan te bieden.
Android Beveiliging Beloningen voor subsidiabele bugs in de code omvatten die in AOSP code, OEM-code, de essentie, en TrustZone besturingssysteem en modules. Het programma codes van geschikte inrichtingen relevante, en Google heeft geen betrekking op door andere beloningsprogramma's. Door beveiligingslekken in andere niet-Android-code kunnen in aanmerking komen als ze invloed hebben op de veiligheid van het Android OS.
Kwetsbaarheden die alleen werken op andere Google-apparaten zoals Nexus Player, project Tango, of Android Wear komen niet in aanmerking voor Android Veiligheid Rewards.
Kwalificatie beveiligingslekken Covered
Het krijgen van een beloning van kwetsbaarheid rapport vraagt om het vervullen van een paar regels:
- Alleen de eerste melding van een bijzondere kwetsbaarheid wordt beloond.
- Bugs in eerste instantie openbaar gemaakt, of aan een derde partij voor andere doeleinden dan de vaststelling van de bug doelstellingen, zal doorgaans niet in aanmerking voor een beloning. Google geeft moed aan de verantwoordelijke aankondiging en gelooft dat een verantwoordelijke verklaring is een bidirectionele ding.
→“Het is onze plicht om ernstige fouten binnen een redelijke termijn op te lossen,” Google Company zegt in een blogpost.
Een paar klassen van beveiligingslekken worden niet Qualifed voor een Reward:
- Phishing-aanvallen die de gebruiker te betrekken tricking in het invoeren van de geloofsbrieven. Met andere woorden, problemen die complexe interactie van de gebruiker vereist.
- Aanvallen die de gebruiker onder bedriegen in een gebruikersinterface-element Tap-jacking en UI-ongedaan tikken.
- Problemen die het debuggen toegang nodig hebben (ADB) aan het apparaat of alleen invloed gebruiker debug bouwt.
- Bugs die een app laten crashen.
Het definiëren van de Reward Bedrag
Google betaalt voor elke stap voldaan aan een security bug fix: $500 voor gematigde hardheid; $1,000 voor hoge; en $2,000 voor kritische. Degenen die investeren in patches en tests zullen in aanmerking komen voor een nog grotere payday: ruim $8,000 voor een CTS test om een belangrijk punt en een patch om het te repareren op te sporen.
Tot slot, het Google-team verklaart dat zij zal blijven onderzoeken, werken en te investeren in ensuant onderzoekt om kwetsbaarheden in Android vinden.