Google готов платить вам до 40.000 долларов за баги, найденные в Android

Автор темы #1
A

Awia69

Guest

В 2014 году Google выплатил более 1.5 миллионов долларов хакерам и исследователям, которые помогали найти уязвимости в браузере Chrome – и теперь техногигант предлагает пользователям новую программу вознаграждения под названием «Android Security Rewards Program».
На текущий момент эта программа покрывает уязвимости в последних версиях Android для бренда смартфонов и планшетов Google Nexus, и перечень устройств, на которые она распространяется, будет в дальнейшем увеличиваться. Код, который используется в фирменном программном обеспечении для чипсетов, но при этом не является кодом Android, всё равно подпадает под программу, если он оказывает влияние на безопасность операционной системы.

Следующая таблица показывает, как будет измеряться награда, выплачиваемая исследователям:

Базовое вознаграждение – это минимальная награда, которая зависит от «тяжести» найденного бага.

Google обещает выплатить 1.5 базовых вознаграждения, если баг-репорт будет включать в себя отдельный тестовый кейс (уязвимый файл).

Награда будет удвоена за предоставление патча, который устраняет найденную уязвимость или за CTS (Compatibility Test Suite)-тест, который позволяет её обнаружить.

За отчёт, который включает в себя и CTS-тест и патч, награда будет выплачиваться в четырёхкратном размере.



Верхний предел выплаты по этой программе может достигать 40.000 долларов – в данном случае это будет вознаграждение за найденный критический баг, состоящий из цепочки атак, компрометирующих Android TrustZone или Verified Boot из установленного приложения.

Решение расширить программу вознаграждения с Chrome на всю платформу Android было неизбежным, говорит глава Android Security Адриан Людвиг. «Мы видим, как мобильные устройства становятся наиболее распространённым способом выхода в интернет», говорит он. «Наша цель – сделать эту программу хорошей возможностью для заработка киберисследователей и добросовестных хакеров, которые помогают находить потенциальные уязвимости в Android».
Бонус
Армия США покупает «дыры» в ПО Microsoft, Apple, IBM
ВМС США находятся в поисках компаний, готовых предоставить им эксплойты к популярным программным продуктам Microsoft, Adobe, Novell, IBM, Apple, Cisco и других компаний. Эти эксплойты нужны для имитации действий хакерских группировок.



Военно-морские силы США опубликовали на сайте госзакупок объявление о поиске ИТ-компаний, готовых предоставить им информацию об уязвимостях нулевого дня в популярных программных продуктах и способы их эксплуатации, сообщает некоммерческая организация Electronic Frontier Foundation, занимающаяся защитой частной жизни граждан.

<cut>«Правительству требуется поддержка подрядчиков для того, чтобы удовлетворить возросшую потребность в имитации известных исполнителей кибер-атак и их возможностей», — содержится в документе.

Как пишет EFF, соответствующее объявление было обнаружено одним из аналитиков организации Дэвидом Масом (Dave Maass). После того как он опубликовал ссылку на документ в своем Twitter, объявление с сайта госзакупок исчезло. EFF сделала его электронную копию.

В объявлении ВМС просили заинтересованных вендоров предоставить им информацию об уязвимостях, которые еще не занесены в базу данных CVE, аналитические отчеты и эксплойты, позволяющие эксплуатировать обнародованные «дыры». Права на использование эксплойтов, согласно условиям сотрудничества, должны быть переданы американскому правительству.

Основной интерес ВМС США проявляют к продуктам таких разработчиков, как Microsoft, Adobe Systems, EMC, Novell, IBM, Apple, Cisco Systems и Linksys. Все эти вендоры упомянуты в объявлении. В объявлении также подчеркнут интерес к уязвимостям Android, Linux и Java. Список интересующих власти вендоров и продуктов «на этом не ограничивается», говорится в документе.


Скриншот объявления, опубликованного ВМС США на сайте госзакупок

Как отмечает EEF, прискорбно осознавать, что для властей США важнее использовать уязвимости для слежки вместо того, чтобы защищать миллионы пользователей программного обеспечения. В правительстве даже существует засекреченный свод правил Vulnerabilities Equities Process, регулирующий процесс уведомления спецслужбами разработчиков программных продуктов о присутствии уязвимостей в их продуктах. В 2014 г. EFF подала в суд на Агентство национальной безопасности США с требованием раскрыть это руководство.
</cut>
 

burlakaaleks

Обитатель
Сообщения
69
Реакции
4
Баллы
8
- Google готов платить вам до 40.000 долларов за баги, найденные в Android

А кто платит больше?
 

Пользователи, просматривающие эту тему

Сейчас на форуме нет ни одного пользователя.

Сверху Снизу