:

Szerző: Hlács Ferenc

2015. június 16. 14:58

Külön jutalmat kapnak az androidos bugok felfedezői

Az Android Security Rewards program keretében, már külön pénzjutalmat ajánl a Google, a mobil operációs rendszerében felfedezett hibákért. A keresőóriás az összeg elbírálásakor az adott biztonsági rés súlyossága mellett, a jelentések részletességét is figyelembe veszi.

Újabb bugvadász programot hirdet a Google, amely kifejezetten a mobil operációs rendszerében talált sebezhetőségekre fókuszál. Az Android Security Rewards kezdeményezés keretei között, ahogy a hasonló megoldásoknál lenni szokott, a keresőóriás a kiosztott jutalmak méretét a talált hiba súlyosságától, illetve attól függően szabja meg, hogy a biztonsági rés felfedezője mennyire jó minőségű, részletes jelentést adott le.

A program jelenleg a legújabb Nexus készülékeken található, gyári Android rendszert fedi le, egész pontosan a Nexus 6-on és a Nexus 9-en lévő verziókat, noha a vállalat a jövőben a lista bővítését tervezi. A Google az AOSP, illetve a készülékgyártók által biztosított kódban, (például a különböző driverek) valamint a kernel, a TrustZone OS és a kapcsolódó modulok kódjában talált hibákért oszt jutalmat. A keresőóriás továbbá egyéb, a fentieken kívülálló elemekben felfedezett sebezhetőségek, például az adott chipset firmware-ének hibáiért is fizet, legalábbis ha azok kihatnak az Android rendszer biztonságára.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A vállalat a kritikus, magas és közepes súlyosságú biztonsági rések felfedezését honorálja, de kivételes esetben a kisebb kockázatú hibákért, illetve patchekért is adhat jutalmat - utóbbiakkal azonban inkább a hasonló, Google Patch Rewards programban érdemes próbálkozni. A keresőóriás, ha egy hibát többen is jeleznek, a pénzjutalmat értelemszerűen az első bejelentőnek adja. Nem fizet továbbá a cég a nyilvánosan vagy harmadik fél számára közzétett sebezhetőségekért, kivéve ha a felfedező azt a bug befoltozása céljából osztja meg. A Google a fentieken túl "általában" nem fizet többek között az ADB kapcsolatot igénylő hibákért, az egyszerűen csak az appok összeomlását okozó bugokért és a phishing támadásokkal kihasználható  sebezhetőségekért sem.

Ha a beküldött hibajelentés formailag is megüti a Google mércéjét, a vállalat a kritikus biztonsági résekért jellemzően 2000, a magas prioritásúakért 1000, a közepesen súlyos sebezhetőségekért pedig 500 dollárt fizet. A részletesebb jelentésekkel ezek az összegek jócskán felhizlalhatók, a cég ugyanis 1,5-ös szorzót tesz a jutalomra, ha abban a hiba reprodukálására szolgáló kód, netán azt bemutató példa is található (például egy hibás fájl). Ha a bejelentéshez a megtaláló egy patchet is mellékel a sebezhetőség befoltozására vagy egy CTS tesztet annak detektálásához, a jutalmat a keresőóriás 2-vel szorozza meg, ha pedig mindkét csatolmány bekerül a jelentésbe, a szorzó akár 4-szeres is lehet.

A legnagyobb jutalmak azonban a kernel kompromittálásához vezető hibákért járnak: ha utóbbi egy telepített alkalmazással vagy az eszközhöz való fizikai hozzáféréssel demonstrálható, a Google 10 ezer dollárt ajánl, ha pedig mindezt távolról végzik el, az összeg 20 ezer dollárra növekszik. Ugyanígy a TrustZone Trusted Execution Environment (TEE) vagy a Verified boot fizikai vagy appon keresztül történő feltörése is 20 ezer dollárt ér, ugyanez távolról pedig már 30 ezer dollárra hízik.

A Google immár sokadik hasonló jutalomprogramját indítja meg, a fentebb említett Patch Rewards mellett a Google Vulnerability Rewards és a Chrome Rewards kezdeményezések keretében is oszt pénzjutalmat a biztonsági résekért. A vállalat első ilyen programja 2010-ben indult, azóta a cég mintegy 4 millió dollárt fizetett ki a bugvadászoknak.

a címlapról