Google beri herkes için kendi ürün daha güvenli hale getirmek hedefi takip güvenlik ödül programını yapıyor 2010. Geçen yıl daha fazla yatırım 1.5 Chrome ve diğer Google Ürünlerinde açıklarını bulduk güvenlik araştırmacılar için milyon dolar.
Haziranda 16, Jon Larimer, Android Güvenlik Mühendisi, Şirket programlarını genişletiyor bir blog yayınında bir duyuru ile geldi. Android Güvenlik Ödül Programı bulacaksınız araştırmacıları içerecektir, düzeltmek, ve Android'inizden açıklarını tutmak, özellikle.
Bu program sayesinde, Onlar Android Güvenlik Takımına ortaya güvenlik açıkları için mali ödülleri ve kamu tanıma sağlamak. kompanzasyon seviyesi üreme kod içeren yüksek kaliteli raporları için böcek sert, artırır dayanmaktadır, test durumları, ve yamalar.
Ödül Programına Dahil Ürünler
şirket son kullanılabilecek Android sürümlerinde keşfedilen proje kaplama güvenlik açıklarını başlar. Nexus 6 ve Nexus 9 telefonlar, Google'da kullanılabilen tabletler, ABD'de Play Store. gönüllüdürler. dahil cihazların takımı zamanla kapsamını değiştirecek. ayrıca, Bu adımın devam eden bir güvenlik açığı ödül programı sunan mobil cihazların ön planda Nexus alır.
Android Güvenlik Ödüller kodunda uygun böcek AOSP kodunda olanları içerir kapsayacak, OEM kod, esans, ve TrustZone OS ve modüller. Program uygun cihazların kodları alakalı, ve Google, diğer ödül programları tarafından o kapsamaz. Onlar Android OS güvenliğini etkilediği takdirde diğer Android olmayan kod güvenlik açıkları uygun olabilir.
ancak böyle Nexus Player gibi diğer Google cihazların üzerine hareket güvenlik açıkları, Project Tango, veya Android Wear Android Güvenlik Ödül için uygun değildir.
Eleme güvenlik açıkları Kapalı
Birkaç kural açığı raporunun bir ödül yerine getiren talepler Başlarken:
- Sadece belirli bir güvenlik açığının ilk rapor ödüllendirilir.
- Hatalar başlangıçta kamuoyuna, veya hatayı düzeltmeye dışındaki hedefleri için bir üçüncü tarafa, tipik ödül kazandıracak olmaz. Google sorumlu duyuruya cesaret verir ve sorumlu bir deyim çift yönlü bir şeydir inanmaktadır.
→“Makul bir zaman dilimi içinde ciddi hataları düzeltmek bizim görevimiz,” Google Şirket bir blog yazısı devletler.
Güvenlik Açıklarının Birkaç Sınıflar bir Ödülü almaya koĢullar yerine:
- giren kimlik kullanıcıyı kandırma dahil Phishing saldırıları. Başka bir deyişle, karmaşık bir kullanıcı etkileşimi gerektirir sorunlar.
- Tap-itme ve UI-giderilmesi gibi bir UI öğesi dokunarak içine kullanıcı kandırma içerir saldırılar.
- ayıklama erişim gerektiren sorunlar (ADB) Cihaza veya sadece kullanıcı hata ayıklama oluşturur etkileyecek.
- Bir uygulamayı neden Hatalar çökmesine.
Ödül miktarı tanımlama
Google, bir güvenlik hatayı düzeltmek için yerine her adım için ödeyecek: $500 orta sertlik için; $1,000 yüksek için; ve $2,000 kritik için. yamalar ve testlerin yatırım yapanlar daha da büyük bir ödeme günü için uygun olacaktır: dan itibaren $8,000 CTS testi önemli bir konu ve bunu düzeltmek için bir yama algılamak için.
Sonuç olarak, Google ekibi olayla ilgili soruşturma başlattığını devam edeceğini beyan, çalışma ve ensuant yatırım Android'de güvenlik açıklarını bulmak için araştırmalar.