- PVSM.RU - https://www.pvsm.ru -

Программе Android Security Rewards исполнился 1 год

Привет! Год назад [1] в программе Google Vulnerability Rewards появилась новая номинация — Android Security Rewards [2]. За обнаружение лазейки в системе безопасности Android мы предлагали до 38 000 долларов США. С помощью таких поощрений нам удалось обнаружить и устранить множество ошибок и уязвимостей — и улучшить защиту наших пользователей.

Программе Android Security Rewards исполнился 1 год - 1

Это было достойное начало — и вот результаты первого года работы программы:

  • Вы прислали более 250 отчетов об ошибках, отвечающих нашим требованиям.
  • 82 исследователя получили более 550 000 долларов США в качестве вознаграждений. В среднем на одно вознаграждение пришлось 2200 долларов, а на человека — 6700 долларов.
  • Наш лучший исследователь, Питер Пи (@heisecode [3]) из Trend Micro, получил $75 750 долларов США за 26 отчетов.
  • Пятнадцати исследователям мы заплатили не менее чем по $10 000.
  • Никому не удалось описать удаленную атаку, состоящую из цепочки уязвимостей, которая компрометирует Android TrustZone или Verified Boot. Так что главный приз остался невостребованным.

Спасибо всем [4], кто в принял участие в программе, прислал качественные отчеты об ошибках [5] и помог нам улушчить Android [5]. Теперь защита системы стала надёжней, так что с 1 июня 2016 года мы поднимаем ставки!

Найти уязвимость стало сложнее, так что теперь мы платим ещё больше!

  • Вознаграждение за качественный отчет об ошибке с инструкцией по ее воспроизведению увеличилось на 33%. Например, поощрение за обнаружение критической уязвимости с подтверждением теперь составляет $4000 вместо $3000.
  • Вознаграждение за отчет об ошибке с инструкцией по воспроизведению, который включает в себя CTS-тест или патч, выросло на 50%.
  • За обнаружение уязвимости ядра (из установленного приложения или с помощью физического доступа к устройству) мы платим $30 000 вместо $20 000.
  • За описание атаки, состоящей из цепочки уязвимостей, которая компрометирует Android TrustZone или Verified Boot, мы предлагаем $50 000 вместо $30 000.

Все изменения и дополнительные условия программы подробно описаны в наших правилах [6].

Хотите помочь нам найти уязвимости в системе безопасности? На сайте Bug Hunter University [7] рассказано, как создать отчет, отвечающий всем требованиям. Помните, что чем лучше будет отчет, тем выше окажется вознаграждение. Не забудьте также просмотреть наш обновленный рейтинг критичности ошибок [8].

Спасибо всем, кто помогал нам сделать ОС Android ещё защищеннее. Мы многому научились за этот год и с интересом смотрим в будущее.

Автор: Google

Источник [9]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/136021

Ссылки в тексте:

[1] Год назад: https://security.googleblog.com/2015/06/announcing-security-rewards-for-android.html

[2] Android Security Rewards: https://www.google.com/about/appsecurity/android-rewards/index.html

[3] @heisecode: https://twitter.com/heisecode

[4] всем: https://source.android.com/security/overview/acknowledgements.html

[5] отчеты об ошибках: https://code.google.com/p/android/issues/entry?template=Security%20bug%20report

[6] наших правилах: https://www.google.com/about/appsecurity/android-rewards/

[7] Bug Hunter University: https://sites.google.com/site/bughunteruniversity/

[8] рейтинг критичности ошибок: https://source.android.com/security/overview/updates-resources.html

[9] Источник: https://habrahabr.ru/post/303536/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best