Програмі Android Security Rewards виповнився 1 рік

Привіт, Хабр! Рік назад в програмі Google Vulnerability Rewards з'явилася нова номінація —Android Security Rewards. За виявлення лазівки в системі безпеки Android ми пропонували до 38 000 доларів США. З допомогою таких заохочень нам вдалося виявити і усунути безліч помилок і вразливостей — і поліпшити захист наших користувачів.



Це було гідне початок — і ось результати першого року роботи програми:
  • Ви надіслали понад 250 звітів про помилки, які відповідають нашим вимогам.
  • 82 дослідника отримали понад 550 000 доларів США в якості винагород. В середньому на одне винагороду довелося 2200 доларів, а на людину — 6700 доларів.
  • Наш найкращий дослідник, Пітер Пі (@heisecode з Trend Micro, отримав $75 750 доларів США за 26 звітів.
  • П'ятнадцяти дослідникам ми заплатили не менш ніж за $10 000.
  • Нікому не вдалося описати віддалену атаку, що складається з ланцюжка вразливостей, яка компрометує Android TrustZone або Verified Boot. Так що головний приз залишився незатребуваним.
Спасибівсім, хто взяв участь у програмі, надіслав якіснізвіти про помилки і допоміг нам улушчить Android. Тепер захист системи стала надійніше, так що з 1 червня 2016 року ми піднімаємо ставки!

Знайти уразливість стало складніше, так що тепер ми платимо ще більше!

  • Винагорода за якісний звіт про помилку з інструкцією по її відтворенню збільшилася на 33%. Наприклад, заохочення за виявлення критичної уразливості з підтвердженням тепер складає $4000 замість $3000.
  • Винагорода за звіт про помилку з інструкцією по запуску, який включає в себе CTS-тест або патч, зросла на 50%.
  • За виявлення уразливості ядра (з встановленого додатка або з допомогою фізичного доступу до пристрою) ми платимо $30 000 замість $20 000.
  • За опис атаки, що складається з ланцюжка вразливостей, яка компрометує Android TrustZone або Verified Boot, ми пропонуємо $50 000 замість $30 000.
Всі зміни та додаткові умови програми докладно описані внаших правилах.

Хочете допомогти нам знайти уразливості в системі безпеки? На сайтіBug Hunter University розказано, як створити звіт, який відповідає всім вимогам. Пам'ятайте, що чим краще буде звіт, тим вище виявиться винагороду. Не забудьте також переглянути наш оновленийрейтинг критичності помилок.

Спасибі всім, хто допомагав нам зробити ОС Android ще защищеннее. Ми багато чому навчилися за цей рік і з цікавістю дивимось в майбутнє.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.