суббота, 20 июня 2015 г.

Google готов платить вам до 40.000 долларов за баги, найденные в Android

В 2014 году Google выплатил более 1.5 миллионов долларов хакерам и исследователям, которые помогали найти уязвимости в браузере Chrome – и теперь техногигант предлагает пользователям новую программу вознаграждения под названием «Android Security Rewards Program».


На текущий момент эта программа покрывает уязвимости в последних версиях Android для бренда смартфонов и планшетов Google Nexus, и перечень устройств, на которые она распространяется, будет в дальнейшем увеличиваться. Код, который используется в фирменном программном обеспечении для чипсетов, но при этом не является кодом Android, всё равно подпадает под программу, если он оказывает влияние на безопасность операционной системы.

Следующая таблица показывает, как будет измеряться награда, выплачиваемая исследователям:

Базовое вознаграждение – это минимальная награда, которая зависит от «тяжести» найденного бага.

Google обещает выплатить 1.5 базовых вознаграждения, если баг-репорт будет включать в себя отдельный тестовый кейс (уязвимый файл).

Награда будет удвоена за предоставление патча, который устраняет найденную уязвимость или за CTS (Compatibility Test Suite)-тест, который позволяет её обнаружить.

За отчёт, который включает в себя и CTS-тест и патч, награда будет выплачиваться в четырёхкратном размере.

Верхний предел выплаты по этой программе может достигать 40.000 долларов – в данном случае это будет вознаграждение за найденный критический баг, состоящий из цепочки атак, компрометирующих Android TrustZone или Verified Boot из установленного приложения.

Решение расширить программу вознаграждения с Chrome на всю платформу Android было неизбежным, говорит глава Android Security Адриан Людвиг. «Мы видим, как мобильные устройства становятся наиболее распространённым способом выхода в интернет», говорит он. «Наша цель – сделать эту программу хорошей возможностью для заработка киберисследователей и добросовестных хакеров, которые помогают находить потенциальные уязвимости в Android».

Источник: lifars.com