Google объявляет о программе вознаграждения в $40,000 за сообщения о багах в операционной системе Android

Google приглашает этичных хакеров и исследователей безопасности найти уязвимости в Android с предложением в $40,000 (£25,600)

Google начнет выплачивать вознаграждение до $40,000 (£25,600) исследователям безопасности, которые найдут ошибки в его устройствах на Android. Компания также объявила о новой программе, чтобы гарантировать безопасность стороннего программного обеспечения на ОС Android, побуждая разработчиков не использовать устаревшие программные библиотеки в своих приложениях.

Адриан Людвиг, руководитель безопасности Android, сказал: «Мы видим, что мобильные устройства становятся, возможно, самым важным способом подключения людей к интернету. Кроме того, мы наблюдаем, как они обеспечивают двухфакторную аутентификацию и становятся источником надежды в том, как пользователи взаимодействуют».

Тем не менее, большинство исследований безопасности по-прежнему сосредоточено на устаревших системах. Мы пытаемся изменить это, стимулируя исследователей безопасности сосредоточить свои усилия на мобильных устройствах. Новая схема под названием «Награды за безопасность Android» будет следовать за достижением аналогичной программы для веб-браузера Google Chrome. В 2014 году компания выплатила более $1.5 млн исследователям безопасности.

Людвиг говорит, что решение проверить приложения Android на наличие программных библиотек, которые могут создать угрозу безопасности, было принято год назад и теперь будет внедрено за пределами его «экспериментального» введения. Он также сказал, что в отношении сканирования приложений мы не будем намеренно искать плохое поведение, но будем искать ошибки.

Людвиг привел ясный пример OpenSSL, который является библиотекой шифрования с открытым исходным кодом, находящейся в центре уязвимости Heartbleed 2014 года.

Людвиг сказал, что мы следим за старой историей OpenSSL. Около года назад мы начали сканировать приложения и уведомлять разработчиков, если они допустили такую ошибку. «Наша цель — достичь точки, где будет общая база, и мы хотим создать структуры, которые помогут разработчикам обновлять свои приложения, чтобы ценность всех приложений возросла».

Разработчики, которые хотят получить вознаграждение от Google за ошибки, должны будут продемонстрировать уязвимости, затрагивающие два поставляемых компанией устройства Nexus, т.е. Nexus 6 и Nexus 9. Из-за разделения рынка Android Google не может доказать, являются ли ошибки, затрагивающие другие устройства Android, ошибкой операционной системы или дополнений производителя. Вознаграждения имеют скользящую шкалу, от $500 за незначительную ошибку, предложенную без дополнительной работы, кроме идентификации, до $38,000 за серьезную уязвимость, предоставленную вместе с доказательством концепции удаленного использования и областью для исправления проблемы. «Наша цель — сделать так, чтобы это могло стать полноценным исследованием и очень хорошо оплачиваемой возможностью», — говорит Людвиг.

Отдельная схема безопасности Google под названием Project Zero вызвала небольшое количество споров из-за своей практики публикации доказательства концепции, используя устройства других компаний. Этот проект направлен на выявление ранее не идентифицированных уязвимостей, а затем их раскрытие производителям с 90-дневным сроком для их исправления. Если исправление не приближается, группа опубликует атаку публично, чтобы побудить компании ускорить свои патчи безопасности.

Хотя компания практикует то, что проповедует: Людвиг говорит, что уязвимости Android выявляются Project Zero. Если Project Zero выявляет какую-либо проблему, то нам устанавливается срок для работы в рамках этой цели, так же как и всем остальным. Мы до сих пор не пропустили ни одного срока.

«Мы полностью верим в то, чтобы производители реагировали быстро, все эти стороны должны реагировать оперативно».