Программе Android Security Rewards исполнился 1 год
Привет, Хабр! Год назад в программе Google Vulnerability Rewards появилась новая номинация — Android Security Rewards. За обнаружение лазейки в системе безопасности Android мы предлагали до 38 000 долларов США. С помощью таких поощрений нам удалось обнаружить и устранить множество ошибок и уязвимостей — и улучшить защиту наших пользователей.
Это было достойное начало — и вот результаты первого года работы программы:
- Вы прислали более 250 отчетов об ошибках, отвечающих нашим требованиям.
- 82 исследователя получили более 550 000 долларов США в качестве вознаграждений. В среднем на одно вознаграждение пришлось 2200 долларов, а на человека — 6700 долларов.
- Наш лучший исследователь, Питер Пи (@heisecode) из Trend Micro, получил $75 750 долларов США за 26 отчетов.
- Пятнадцати исследователям мы заплатили не менее чем по $10 000.
- Никому не удалось описать удаленную атаку, состоящую из цепочки уязвимостей, которая компрометирует Android TrustZone или Verified Boot. Так что главный приз остался невостребованным.
Спасибо всем, кто в принял участие в программе, прислал качественные отчеты об ошибкахи помог нам улушчить Android. Теперь защита системы стала надёжней, так что с 1 июня 2016 года мы поднимаем ставки!
Найти уязвимость стало сложнее, так что теперь мы платим ещё больше!
- Вознаграждение за качественный отчет об ошибке с инструкцией по ее воспроизведению увеличилось на 33%. Например, поощрение за обнаружение критической уязвимости с подтверждением теперь составляет $4000 вместо $3000.
- Вознаграждение за отчет об ошибке с инструкцией по воспроизведению, который включает в себя CTS-тест или патч, выросло на 50%.
- За обнаружение уязвимости ядра (из установленного приложения или с помощью физического доступа к устройству) мы платим $30 000 вместо $20 000.
- За описание атаки, состоящей из цепочки уязвимостей, которая компрометирует Android TrustZone или Verified Boot, мы предлагаем $50 000 вместо $30 000.
Все изменения и дополнительные условия программы подробно описаны в наших правилах.
Хотите помочь нам найти уязвимости в системе безопасности? На сайте Bug Hunter University рассказано, как создать отчет, отвечающий всем требованиям. Помните, что чем лучше будет отчет, тем выше окажется вознаграждение. Не забудьте также просмотреть наш обновленный рейтинг критичности ошибок.
Спасибо всем, кто помогал нам сделать ОС Android ещё защищеннее. Мы многому научились за этот год и с интересом смотрим в будущее.