Google har gjort sin säkerhet belöningsprogram fullfölja målet att göra sin produkt säkrare för alla eftersom 2010. Förra året investerat mer än 1.5 miljon dollar för säkerhetsforskare som finns sårbarheter i Chrome och andra Google-produkter.
I juni 16, Jon Larimer, Android Security Engineer, kom med ett meddelande i ett blogginlägg att bolaget expanderar sitt program. Android Security belöningar programmet kommer att omfatta forskare som hittar, fixera, och hålla sårbarheter av Android, specifikt.
Genom detta program, de ger ekonomiska belöningar och offentligt erkännande för sårbarheter avslöjas till Android Security Team. Ersättningsnivån är baserad på felet hårdhet och ökar för högre kvalitetsrapporter som innehåller reproduktion kod, testfall, och patchar.
Produkter som ingår i programmet belöning
Företaget startar projekt som omfattar säkerhetsproblem upptäcktes i de senast tillgängliga Android-versioner. Nexus 6 och Nexus 9 telefoner, tabletter som är tillgängliga i Google Play Store i US. är värvning. Förpackningen av enheter som ingår kommer att ändra dess omfattning över tiden. dessutom, Detta steg tar Nexus i förgrunden av mobila enheter för att erbjuda ett pågående sårbarhets bonusprogram.
Android Säkerhet Belöningar täcka berättigade buggar i koden inkluderar de i AOSP kod, OEM-kod, essensen, och Trustzone OS och moduler. Programmet är relevant för koder lämpliga anordningar, och Google inte täcker den med andra belöning program. Sårbarheter i andra icke-Android kod kan vara berättigade om de påverkar säkerheten i Android OS.
Sårbarheter som bara verkar på andra Google-enheter som Nexus Player, Project Tango, eller Android Wear är inte berättigade till Android Security belöningar.
Kvalificerade Vulnerabilities Täckt
Att få en belöning av sårbarhet rapport kräver att uppfylla några regler:
- Endast den första rapporten av en viss sårbarhet kommer att belönas.
- Bugs ursprungligen offentliggöras, eller till en tredje part för andra ändamål än fastställande felet mål, kommer normalt inte kvalificera sig för en belöning. Google ger mod till ansvarig tillkännagivandet och tror ett ansvarsfullt uttalande är en dubbelriktad sak.
→”Det är vår plikt att åtgärda allvarliga fel inom en rimlig tidsram,” Google företaget uppger i ett blogginlägg.
Några klasser av sårbarheter inte qualifed för en belöning:
- Nätfiskeattacker som innebär lura användaren till in referenser. Med andra ord, problem som kräver komplex interaktion användaren.
- Attacker som inkluderar lura användaren till att trycka ett gränssnittselement som Tap-jacking och UI-utjämna.
- Frågor som kräver felsökning åtkomst (ADB) till enheten eller endast påverkar användar debug bygger.
- Buggar som orsakar en app att krascha.
Definierar Reward Mängd
Google kommer att betala för varje steg uppfyllas för att fastställa en säkerhets bug: $500 för måttlig hårdhet; $1,000 för hög; och $2,000 för kritisk. De som investerar i patchar och tester kommer att vara berättigade till en ännu större avlöningsdag: uppemot $8,000 en CTS-test för att påvisa en nyckelfråga och en patch för att fixa det.
Sammanfattningsvis, Google-teamet förklarar att de kommer att hålla på att utreda, arbeta och investera i ensuant forskar att hitta sårbarheter i Android.