Нашли ошибку в системе Android? Скоро Google будет платить 40000 долларов, если расскажите об этом.
Google начнет платить исследователям безопасности, которые находят ошибки в его устройствах на базе Android, вознаграждение в размере до 40000 долларов. Компания также объявила о новой программе, чтобы гарантировать безопасность стороннего программного обеспечения на Android OS, подтолкнув разработчиков к прекращению пользования программными библиотеками, которые, как известно, являются устаревшими.
“Мы видим, что мобильные телефоны, возможно, являются самым важным путем, с помощью которого люди могут подключиться к Интернету”, заявил сотрудник Google Адриан Людвиг, руководитель по безопасности Android. “Мы видим, что это обеспечивает двухфакторную аутентификацию”. И все же в настоящее время, “большая часть исследования безопасности все еще сосредоточена на устаревших системах. Мы пытаемся переместить это, стимулируя исследователей безопасности сосредоточить всю энергию на мобильном телефоне”. Новую схему назовут Вознаграждениями безопасности Android, и она следует за успехом подобной программы для веб-браузера Google Chrome. В 2014 компания выплатила больше чем 1,5 миллиона долларов исследователям в области безопасности.
Как сообщает Людвиг, решение просканировать приложения Android для программных библиотек, которые могли бы представлять угрозу безопасности, было принято год назад, и теперь оно будет развернуто за пределы “экспериментального” внедрения. “В рамках проверки приложений, мы уже не просто ищем намеренно плохое поведение: мы также ищем ошибки”. Очевидным примером, который дает Людвиг, является Open SSL, с открытым исходным кодом шифрования библиотеки, которая была в основе уязвимости Heartbleed 2014. “Действительно очевидный пример того, что мы высматриваем: включая версию OpenSSL это – старая версия. Начиная приблизительно год назад, мы начали просматривать приложения и уведомлять разработчиков, если они сделали такую ошибку”, сообщил Людвиг. “Наша цель состоит в том, чтобы дойти до точки, где есть общее основание. Мы хотим создать структуры, чтобы помочь разработчикам обновлять свои приложения, потому что таким образом качество всех приложений поднимается”. Разработчики, которые хотят претендовать и взять участие в программе щедрости от Google, будут обязаны показать слабые места, затрагивающие два устройства Nexus – Nexus 6 и Nexus 9 (вследствие фрагментации Android Market, Google не может проверить, являются ли ошибки, затрагивающие другие устройства на базе Android, ошибкой операционной системы или дополнениями изготовителя). Вознаграждение рассчитывается по скользящей шкале, от 500 долларов за незначительные ошибки, представленные без дополнительной работы кроме идентификации, до 38,000 долларов за тяжелой ошибки, представленные вместе с доказательством правильности концепции и вариантами того, как исправить проблему. “Наша цель в том, что это может быть полный рабочий день исследования и очень хорошо оплачиваемая возможность”, заявляет Людвиг.”
Марк Шуллер
Источник: android-robot.com