Google tem vindo a fazer seu programa de recompensa de segurança prossecução do objectivo de fazer seu produto mais seguro para todos, uma vez 2010. No ano passado, investiu mais de 1.5 milhões de dólares para os pesquisadores de segurança que encontraram vulnerabilidades no Chrome e outros produtos do Google.
Em Junho 16, Jon Larimer, Engenheiro de Segurança Android, veio com um anúncio em um post de blog que a empresa está expandindo seu programa. Segurança Android Rewards Program irá incluir pesquisadores de que vai encontrar, fixar, e manter vulnerabilidades fora do Android, especificamente.
Através deste programa, eles fornecem recompensas financeiras e reconhecimento público para as vulnerabilidades reveladas à equipe de segurança Android. O nível de compensação é baseado na dureza bug e aumenta para os relatórios de maior qualidade que incluem código de reprodução, casos de teste, e patches.
Os produtos incluídos no programa de Recompensa
A empresa inicia as vulnerabilidades de segurança cobertura projeto descobertos nas últimas versões do Android disponíveis. o Nexus 6 e Nexus 9 telefones, comprimidos que estão disponíveis no Google Play Store na U.S. são alistados. O pacote de dispositivos incluídos vai mudar o seu alcance ao longo do tempo. Além disso, este passo leva Nexus em primeiro plano de dispositivos móveis para oferecer um curso do programa de vulnerabilidade recompensas.
Recompensas Segurança Android cobrir erros elegíveis no código incluem aqueles em código AOSP, código OEM, a essência, eo OS TrustZone e módulos. O programa é relevante para códigos de dispositivos adequados, e o Google não cobri-lo por outros programas de recompensa. Vulnerabilidades no outro código não-Android podem ser elegíveis se eles afetem a segurança do sistema operacional Android.
Vulnerabilidades que só agem sobre outros dispositivos do Google, como o Nexus Player, projeto Tango, ou Android Wear não são elegíveis para Recompensas Segurança Android.
Vulnerabilidades de qualificação coberto
Começar uma recompensa de relatório vulnerabilidade exige cumprimento de algumas regras:
- Somente o primeiro relatório de uma vulnerabilidade particular será recompensado.
- Erros inicialmente tornado público, ou para uma terceira parte para outros fins que corrigir o bug objetivos, normalmente não irá beneficiar de uma recompensa. Google dá coragem para o anúncio responsável e acredita que uma declaração responsável é uma coisa bidirecional.
→“É nosso dever para corrigir erros graves dentro de um prazo razoável,” Google Empresa afirma em seu blog.
Algumas classes de vulnerabilidades não são qualifed para uma Reward:
- ataques de phishing que envolvem enganar o usuário para credenciais que entram. Em outras palavras, problemas que exigem interação do usuário complexa.
- Ataques que incluem enganar o usuário a tocar um elemento UI como Tap-jacking e UI-redressing.
- Questões que exigem a depuração de acesso (ADB) ao dispositivo ou só afetam depuração usuário constrói.
- Erros que provocam um aplicativo para falhar.
Definição do montante da recompensa
Google vai pagar para cada etapa cumprida para corrigir um bug de segurança: $500 para dureza moderada; $1,000 em alta; e $2,000 para crítica. Aqueles que investir em patches e testes serão elegíveis para um dia de pagamento ainda maior: para cima de $8,000 para um teste de CTS para detectar uma questão fundamental e um patch para corrigi-lo.
Em conclusão, a equipe do Google declara que eles vão continuar a investigar, trabalhar e investir em ensuant pesquisas para encontrar vulnerabilidades em Android.