Android Security Rewards ist 1 Jahr alt

    Hallo habr Vor einem Jahr erschien eine neue Nominierung im Google Vulnerability Rewards-Programm - Android Security Rewards . Für die Aufdeckung von Lücken im Android-Sicherheitssystem haben wir bis zu 38.000 US-Dollar angeboten. Mithilfe solcher Anreize konnten wir viele Fehler und Schwachstellen erkennen und beseitigen - und den Schutz unserer Benutzer verbessern.



    Es war ein guter Start - und hier sind die Ergebnisse des ersten Jahres des Programms:
    • Sie haben über 250 Fehlerberichte gesendet, die unseren Anforderungen entsprechen.
    • 82 Forscher erhielten Belohnungen in Höhe von über 550.000 USD. Im Durchschnitt wurden 2.200 USD pro Belohnung und 6.700 USD pro Person gezahlt.
    • Unser Top-Forscher Peter Pi ( @heisecode ) von Trend Micro erhielt 75.750 US- Dollar für 26 Berichte.
    • Fünfzehn Forscher haben wir mindestens 10.000 US-Dollar bezahlt.
    • Niemand konnte einen Remote-Angriff beschreiben, der aus einer Reihe von Sicherheitsanfälligkeiten besteht, die Android TrustZone oder Verified Boot gefährden. So blieb der Hauptpreis nicht beansprucht.

    Vielen Dank an alle, die an dem Programm teilgenommen haben, qualitativ hochwertige Fehlerberichte gesendet haben und uns geholfen haben, Android zu verbessern . Jetzt ist der Schutz des Systems zuverlässiger geworden. Ab dem 1. Juni 2016 erhöhen wir die Raten!

    Das Auffinden einer Sicherheitsanfälligkeit ist schwieriger geworden, daher zahlen wir jetzt noch mehr!

    • Die Belohnung für einen Qualitätsfehlerbericht mit Anweisungen zur Reproduktion wurde um 33% erhöht. Zum Beispiel beträgt die Belohnung für das Erkennen kritischer Schwachstellen mit Bestätigung jetzt 4000 US-Dollar anstelle von 3000 US-Dollar.
    • Die Belohnung für einen Fehlerbericht mit Anweisungen zur Reproduktion, der einen CTS-Test oder -Patch enthält, wurde um 50% erhöht.
    • Für das Erkennen einer Kernel-Schwachstelle (von einer installierten Anwendung oder durch physischen Zugriff auf ein Gerät) zahlen wir 30.000 US-Dollar anstelle von 20.000 US-Dollar.
    • Für eine Beschreibung eines Angriffs, der aus einer Reihe von Sicherheitslücken besteht, die Android TrustZone oder Verified Boot gefährden, bieten wir 50.000 USD anstelle von 30.000 USD an.

    Alle Änderungen und zusätzlichen Bedingungen des Programms sind in unseren Regeln detailliert beschrieben .

    Möchten Sie uns helfen, Sicherheitslücken zu finden? Auf der Bug Hunter University- Website wird beschrieben, wie Sie einen Bericht erstellen, der alle Anforderungen erfüllt. Denken Sie daran, dass die Belohnung umso höher ist, je besser der Bericht ist. Lesen Sie auch unsere aktualisierte Fehlerbewertung .

    Vielen Dank an alle, die uns geholfen haben, Android noch sicherer zu machen. Wir haben in diesem Jahr viel gelernt und blicken interessiert in die Zukunft.

    Jetzt auch beliebt: