こんにちは、Habr!
1年前 、Google Vulnerability Rewardsプログラム(
Android Security Rewards)に新しい指名が登場しました。 Androidセキュリティシステムの抜け穴を検出するために、最大38,000米ドルを提供しました。 このようなインセンティブの助けを借りて、多くのエラーと脆弱性を検出して排除し、ユーザーの保護を改善することができました。
良いスタートでした-そして、ここにプログラムの最初の年の結果があります:
- 弊社の要件を満たす250を超えるエラーレポートを送信しました。
- 82人の研究者が550,000ドル以上の報酬を受け取りました。 平均して、報酬ごとに2,200ドル、1人あたり6,700ドルが支払われました。
- Trend Microのトップ研究者であるPeter Pi( @heisecode )は、26のレポートで75,750ドルを受け取りました。
- 15人の研究者、少なくとも10,000ドルを支払いました。
- Android TrustZoneまたはVerified Bootを侵害する一連の脆弱性で構成されるリモート攻撃を説明することはできませんでした。 そのため、主な賞は請求されませんでした。
プログラムに参加し、質の高い
バグレポート を送信し、
Androidの改善にご協力いただいた
皆様に感謝し
ます 。 システムの保護の信頼性が向上したため、2016年6月1日から料金を引き上げました!
脆弱性を見つけることはより困難になったので、今、私たちはさらに多くを支払います!
- 品質エラーレポートの再現手順に対する報酬は33%増加しました。 たとえば、確認で重大な脆弱性を検出した場合の報酬は、3000ドルではなく4000ドルになりました。
- CTSテストまたはパッチを含む再現手順を含むバグレポートに対する報酬が50%増加しました。
- カーネルの脆弱性を検出するために(インストールされたアプリケーションから、またはデバイスへの物理的アクセスを介して)、20,000ドルではなく30,000ドルを支払います。
- Android TrustZoneまたはVerified Bootを侵害する一連の脆弱性で構成される攻撃の説明については、30,000ドルではなく50,000ドルを提供しています。
プログラムのすべての変更と追加条件は
私たちの規則で詳細に説明され
ます 。
セキュリティの脆弱性を見つける手助けをしたいですか?
Bug Hunter Universityの Webサイトには、すべての要件を満たすレポートの作成方法が記載されています。 レポートが優れているほど、報酬も高くなることを忘れないでください。 更新された
バグの重要度評価も確認してください。
Androidの安全性をさらに高めてくれたすべての人に感謝します。 今年は多くのことを学び、興味を持って未来を探しています。