Програма на Google ще дава пари за открити бъгове в сигурността на Android

Google наскоро оповестиха, че ще започнат да възнаграждават хората, открили уязвимости в най-новите версии на Android, инсталирани в последните Nexus смартфони и таблети (това са Nexus 6 и Nexus). Програмата се казва Android Security Rewards и ще се развива паралелно с досегашната Patch Reward Program, която възнаграждава програмисти за намиране на бъгове в различни проекти с отворен код. Освен признанието, че са направили Android по-безопасна ОС, Google ще плащат и определена сума на кодерите, в зависимост от сериозността на бъговете и дали програмистът ще може да демонстрира тестове и корекции за откритата уязвимост.

Наградите варират от 333 долара за открита уязвимост на ниско ниво и осигуряване на свързан с нея тестов пример през 500 долара за откриване на средно сериозна уязвимост и до 8000 долара за бъг на най-високо ниво, осигурен тест, доказващ наличието му, и създаване на кръпка за пробива. Освен това програмистите могат да получат до 30 000 долара за демонстриране на пробиви, водещи до нарушаване на TEE (TrustZone) или Verified Boot чрез дистанционна или близка атака.

За тези, които не желаят парите на Google, компанията обещава да дари двойно по-висока сума от тази, която биха получили на избрана от тях благотворителна организация. Кампаниите за лов на бъгове срещу награда със сигурност не са нова идея, като много големи фирми разчитат на външни програмисти да намират и коригират уязвимости. Това не означава, че намеренията на Google да закърпят дупките в сигурността на Android са с по-нисък приоритет, особено предвид честотата на откриването им.

Източник