Temukan Celah Dan Bug Di Android Menangkan Hadiah $ 8.000
Google membuka program imbalan bagi kalian yang menemukan bug, Google telah menyerahkan jutaan dolar untuk peneliti yang menemukan bug di Chrome Dan Produk Google Lainya sejak tahun 2010, kini telah di perluas untuk mencakup anggota terbesar dari Keluaran Produk : Sistem Operasi Android.
Insinyur keamanan Android Jon Larimer Mengatakan :
Hari ini, kami memperluas program kami untuk menyertakan peneliti yang akan menemukan, memperbaiki, dan mencegah kerentanan pada Android, khususnya.
Google mengatakan Keamanan baru Android yaitu Program Imbalan hanya akan menutupi kerentanan yang mempengaruhi versi terbaru dari Android yang berjalan pada sendiri Nexus 6 smartphone dan tablet Nexus 9 untuk saat ini, tetapi daftar perangkat yang memenuhi syarat akan berubah dari waktu ke waktu.
Saya berharap Google akan menyertakan versi sistem operasi Android atau, lebih baik lagi, mendorong mitra untuk mendorong keluar update lebih tepat waktu di masa depan, jika manfaat keamanan yang berasal dari program bug ini hanya akan dinikmati oleh minoritas pelanggan.
Untuk mengklaim hadiah di bawah program baru, para peneliti akan perlu untuk menemukan bug pada salah satu atau kedua perangkat yang memenuhi syarat yang belum dipenuhi oleh setiap program reward lainnya Google dengan aturan yang menyatakan:
Bug memenuhi syarat termasuk mereka dalam kode AOSP, kode OEM (perpustakaan dan driver), kernel, dan OS TrustZone dan modul. Kerentanan dalam kode non-Android lainnya, seperti kode yang berjalan di chipset firmware, mungkin memenuhi persyaratan jika mereka mempengaruhi keamanan OS Android.
Imbalan
Larimer mengatakan program ini akan membayar imbalan yang lebih besar bagi mereka yang mampu menemukan kerentanan, Google akan menyerahkan uang tunai yang besar sebagai imbalan untuk tes dan patch yang akan membantu untuk membuat seluruh ekosistem yang lebih kuat.
Mungkin imbalan terbesar akan diberikan ke para peneliti yang bekerja di sekitar fitur keamanan platform Android, seperti ASLR, NX, dan sandboxing yang dirancang untuk mencegah eksploitasi dan melindungi pengguna.
Peneliti mengirimkan bug dapat mengharapkan untuk mendapatkan apa-apa sampai $ 2000 (sekitar £ 1200), tergantung pada tingkat keparahan.Dengan juga mengirimkan uji kasus, kasus unit dan AOSP (Android Open Source Project) patch, hadiah bisa naik sebanyak $ 8.000 (sekitar £ 5000).
Jika mengeksploitasi mampu mengdiagnosa kernel, TEE (TrustZone) atau proses Verified Boot, potensi hadiah bisa naik menjadi antara $ 20.000 dan $ 30.000 (sekitar £ 12,000 - £ 19,000).
Google menyarankan batas waktu pengungkapan yang wajar dari 90 hari, yang sesuai dengan skala waktu tim Project Zero sendiri menganut saat melaporkan bug Android. Perusahaan mengatakan setiap peneliti mengungkapkan secara terbuka bug baru sebelum periode 90-hari batas waktu berakhir ,Untuk mendapatkan hadiah tersebut, tetapi akan mempertimbangkan setiap kasus pada kemampuannya sendiri.
Isu-isu non-AOSP akan terus ditangani oleh Program Reward Kerentanan Google sementara kerentanan di Chrome akan ditangani oleh program hadiah Chrome .
Kerentanan yang menyelesaikan sekitar menipu pengguna, atau memunculkan interaksi yang kompleks, seperti serangan phishing, tap-jacking atau ketergantungan pada perubahan konfigurasi mungkin tidak mungkin untuk memenuhi syarat untuk hadiah. Bug yang melakukan apa-apa lebih dari menyebabkan sebuah aplikasi crash juga akan dikeluarkan dari program.
Android, Larimer mengatakan, akan terus berpartisipasi dalam GoogleProgram Imbalan patch , yang membayar untuk kontribusi yang meningkatkan keamanan Android (serta proyek-proyek sumber terbuka lainnya). Google juga akan terus mendukung Pwn2Own ponsel , seperti yang telah dilakukan selama 2 tahun terakhir, serta kompetisi lainnya yang dirancang untuk menemukan kerentanan di Android.
Diakhir pernyataan, Larimer mengatakan:
Riset keamanan terbuka adalah kekuatan kunci dari platform Android. Semakin banyak penelitian keamanan yang berfokus pada Android, Itu Akan menjadi semakin kuat Untuk pertahanan android.
No comments