Google значительно увеличивает гонорары за новые уязвимости в ОС Android


Программа Android Security Rewards также известна как Vulnerability Rewards Program, что более точно отражает ее суть – поиск и ликвидация уязвимостей в ОС зеленого робота. Это ахиллесова пята всех мобильных систем, от которой невозможно избавиться в принципе. Однако остается возможность латать прорехи в системе безопасности на ходу, решая задачу малой кровь. Как в плане репутации Android, так и с финансовой позиции – еще на слуху история со взломом iPhone террориста из Сан-Бернардино, на который ФБР потратила $1 млн. Расходы Google на Android Security Rewards куда скромнее, но дружественные хакеры получают вполне солидные гонорары.

Из годового отчета, опубликованного на днях, мы можем узнать, что было выявлено порядка 250 новых уязвимостей разной степени опасности. Дыры отыскивались в Android для бортовых систем автомобилей, приложениях, драйверах для планшетов и т.д. Это заслуга 82 отдельных человек и команд – в сумме им было выплачено $550 000. Единичное указание на прокол в защите ОС оплачивалось по тарифу в $2 200, а тем, кто предлагал развернутое описание и механизм решения проблемы, доплачивали и очень щедро.

В качестве образца для подражания компания Google представила пользователя с ником @heisecode, чей вклад в программу оказался максимальным. На счету этого хакера 26 обнаруженных уязвимостей, за которые он получил от организаторов Vulnerability Rewards Program $75 750. В отчете также указано, что гонорары ряда других участников составили от $6, а 15 пользователей получили более $10 тыс., пропорционально показателям их труда. Неприкрытый намек на то, что сотрудничать с Google на постоянной основе и отыскивать все больше дыр в системе безопасности – выгодно для кошелька.

Предельный размер вознаграждения, который полагался участникам Vulnerability Rewards Program в прошлом году – $30 000. За полное, уникальное описание критической уязвимости, буде таковая сыщется. Этого не произошло и в Google решили повысить ставки, стимулировать более тщательный поиск. Во-первых, максимальное вознаграждение увеличивается до $50 000. Во-вторых, вводится доплата за детальное доказательство концепции прорехи в размере 33%, а сумма выплат за рядовые уязвимости возрастет до $3-4 тыс. Действовать данный тариф будет весь следующий год, итоги подведут в июне 2017-го.

В Google отметили, что две трети выявленных уязвимостей пришлись на Media Server – сервис своевременно отремонтировали, успев подготовить новую версию к выходу Android N. За что и выражают спасибо всем честным хакерам.



24 июня 2016, в 01:48, автор: Admin


Комментарии:
Нет комментариев

Добавить комментарий:
Вы не можете оставлять комментарии. Войдите или зарегистрируйтесь.