Google har laget sin sikkerhet belønning programmet forfølge mål å gjøre sine produkter tryggere for alle siden 2010. I fjor investerte mer enn 1.5 million dollar for sikkerhetsforskere som finnes sårbarheter i Chrome og andre Google-produkter.
I juni 16, Jon Larimer, Android Security Engineer, kom opp med en kunngjøring i et blogginnlegg at selskapet utvider sitt program. Android Security Rewards Program vil omfatte forskere som vil finne, fastsette, og holde sårbarheter ut av Android, nærmere bestemt.
Gjennom dette programmet, de gir økonomiske belønninger og offentlig anerkjennelse for sårbarheter åpenbart til Android Security Team. Kompensasjonsnivået er basert på feil hardhet og øker for høyere kvalitet på rapporter som inkluderer reproduksjon kode, testtilfeller, og patcher.
Produkter som inngår i belønning programmet
Selskapet starter de prosjekt som dekker et sikkerhetshull oppdaget i de nyeste Android-versjoner. Nexus 6 og Nexus 9 telefoner, tabletter som er tilgjengelige i Google Play Store i US-. er vervet. Pakken enheter som inngår vil endre dens omfang over tid. Dess, dette trinnet tar Nexus i forgrunnen av mobile enheter for å kunne tilby en pågående sårbarhets belønner programmet.
Android Security Rewards dekke kvalifisert feil i koden omfatter de i AOSP kode, OEM-kode, essensen, og TrustZone OS og moduler. Programmet er relevant for koder av egnede innretninger, og Google dekker ikke det av andre belønning programmer. Sikkerhetsproblemer i andre ikke-Android-kode kan være berettiget hvis de påvirker sikkerheten i Android OS.
Sikkerhetsproblemer som bare virker på andre Google-enheter, for eksempel Nexus Player, prosjekt Tango, eller Android Wear er ikke kvalifisert for Android Security Rewards.
Kvalifiserte Sikkerhetsproblemer Dekket
Komme en belønning på rapport sårbarhet krever å oppfylle noen regler:
- Bare den første rapporten om en spesiell sårbarhet vil bli belønnet.
- Bugs først gjort offentlig, eller til en tredjepart for andre formål enn å rette feilen mål, vil typisk ikke kvalifiserer for en belønning. Google gir mot til ansvarlig kunngjøringen og mener en ansvarlig uttalelse er en toveis ting.
→“Det er vår plikt å løse alvorlige problemer innen en rimelig tidsramme,” Google Selskapet sier i et blogginnlegg.
Noen klasser av sikkerhetsbruddene kan ikke qualifed for en belønning:
- Phishing-angrep som involverer å lure brukeren til å oppgi påloggingsinformasjon. Med andre ord, problemer som krever komplekse brukerinteraksjon.
- Angrep som omfatter å lure brukeren til å trykke på et grensesnittelement som Tap feller og UI-redressing.
- Problemstillinger som krever debugging tilgang (ADB) til enheten eller bare påvirke bruker debug bygger.
- Feil som forårsaker en app til å krasje.
Definere Belønning Beløp
Google vil betale for hvert trinn oppfylt for å fikse en sikkerhet bug: $500 for moderat hardhet; $1,000 for høy; og $2,000 for kritisk. De som investerer i patcher og tester vil være kvalifisert for en enda større lønning: oppover på $8,000 for en CTS test for å oppdage et sentralt tema og en patch for å fikse det.
For å konkludere, Google-teamet erklærer at de vil fortsette å undersøke, jobbe og investere i ensuant undersøkelser for å finne sårbarheter i Android.