Google ha fatto il suo programma di ricompensa di sicurezza perseguendo l'obiettivo di rendere il loro prodotto più sicuro per tutti, perché 2010. L'anno scorso hanno investito più di 1.5 milioni di dollari per i ricercatori di sicurezza che hanno trovato le vulnerabilità in Chrome e altri prodotti Google.
A giugno 16, Jon Larimer, Security Engineer Android, si avvicinò con un annuncio in un post sul blog che l'azienda sta espandendo il loro programma. Sicurezza Android Rewards programma comprenderà ricercatori che troveranno, fissare, e mantenere le vulnerabilità di Android, specificamente.
Attraverso questo programma, essi forniscono ricompense finanziarie e riconoscimento pubblico per le vulnerabilità rivelate al team di sicurezza di Android. Il livello di compensazione si basa sulla durezza bug e aumenta per i rapporti di qualità superiore che includono il codice di riproduzione, casi test, e patch.
I prodotti inclusi nel programma Reward
L'azienda inizia le vulnerabilità di sicurezza del progetto di copertura scoperti nelle ultime versioni di Android disponibili. Il nesso 6 e Nexus 9 telefoni, compresse che sono disponibili in Google Play Store in U.S.. sono arruolato. La confezione di dispositivi inclusi cambierà la sua portata nel corso del tempo. Inoltre, questo passaggio prende Nexus in primo piano di dispositivi mobili per offrire un continuo programma di ricompense di vulnerabilità.
Sicurezza Android Rewards coprono bug ammissibili nel codice includono quelli nel codice AOSP, codici OEM, l'essenza, e il sistema operativo TrustZone e moduli. Il programma è importante ai codici di opportuni dispositivi, e Google non lo copre da altri programmi di ricompensa. Alcune vulnerabilità in altro codice non-Android possono essere ammissibili se un impatto sulla sicurezza del sistema operativo Android.
Le vulnerabilità che agiscono solo su altri dispositivi Google come Nexus Player, Progetto Tango, o Android Wear non sono ammissibili per la sicurezza Android Rewards.
Vulnerabilità di qualificazione coperto
Come una ricompensa di segnalazione di vulnerabilità che le richieste che soddisfano alcune regole:
- Solo sarà premiato il primo rapporto di una particolare vulnerabilità.
- Bugs inizialmente resi pubblici, o ad una terza parte per obiettivi diversi che fissa il bug, sarà in genere non beneficiare di un premio. Google dà coraggio per l'annuncio responsabile e crede che una dichiarazione di responsabilità è una cosa bidirezionale.
→“E 'nostro dovere correggere i bug gravi entro un ragionevole lasso di tempo,” Google azienda afferma in un post sul blog.
Alcune classi di vulnerabilità non sono Qualifed per un Premio:
- attacchi di phishing che coinvolgono ingannando l'utente in credenziali che entrano. In altre parole, problemi che richiedono l'interazione dell'utente complesso.
- Gli attacchi che includono ingannando l'utente che toccando un elemento di UI come Tap-jacking e UI-riequilibrio.
- Problemi che richiedono l'accesso debug (ADB) al dispositivo o riguardano solo il debug utente costruisce.
- Bug che causano un app crash.
Definire l'Importo Premio
Google pagherà per ogni passo compiuto per correggere un bug di sicurezza: $500 per la durezza moderata; $1,000 per alta; e $2,000 per critica. Coloro che investono in patch e test potranno beneficiare di un giorno di paga ancora più grande: verso l'alto di $8,000 per un test CTS per rilevare una questione chiave e una patch per risolvere il problema.
In conclusione, il team di Google dichiara che essi continueranno a indagare, lavorare e investire in ensuant ricerche per trovare le vulnerabilità in Android.