Nul
Sikkerhed forskere har undladt at vinde den bedste belønning i Google ‘ s Android bug bounty program igen. Det er tredje år i træk bug jægere undlader at vinde den største præmie Google er villige til at betale for nogen form for sikkerheds-relaterede fejl.
Enhver, der ville have gjort en vellykket indsendelse til en ekstern udnytte kæde, der fører til en TrustZone eller Verificeret Boot kompromis på en Android-enhed, kunne have tjent op til $200.000, ifølge Android Sikkerhed Belønninger, navnet på Googles Android bug bounty program.
Også: Titusinder af iOS-apps, der er fanget indsamling og salg af positionsdata
I løbet af de år, forskerne har fundet det meget vanskeligt at sætte sammen remote exploit kæder, der kunne kompromittere TrustZone eller Verificeret Boot, to af Android OS’ mest kraftfulde sikkerhedsfunktioner.
Google har tilbudt mager belønninger i programmets første år, i 2015, men ser, at forskerne ikke kommer op med remote exploits mod TrustZone eller Verificeret Boot, virksomheden har øget belønninger til $50.000 i juni 2016, og derefter til $200.000 sidste år, i juni 2017.
Project Zero, Google ‘ s in-house team af sikkerhedseksperter, havde også deres egen separate konkurrence mellem September 2016 og Marts 2017, hvor de også tilbudt en $200.000 belønning for den samme type af ekstern Android-hack, men ingen formåede at hævde, at prisen enten.
TechRepublic: Google ‘ s Android Ting er her, at fremme sikkerhed for virksomheden IoT-installationer
Men på trods af ikke at få den bedste præmie i Google ‘ s Android bug bounty, forskere var meget dygtig i at finde andre sikkerhedshuller. I et blog-indlæg i dag, Google sagde, at der siden programmets start i 2015, virksomheden har betalt mere end $3 millioner i belønninger, med omkring $1 million per år.
I et tilbageblik over det forgangne år, Jason Woloz og Mayank Jain af Android Sikkerhed Og beskyttelse af Personlige oplysninger Holdet 99 forskellige bug jægere indsendt 470 sårbarhed rapporter i det forløbne år.
Den gennemsnitlige udbetaling pr godkendt fejlrapport var $2,600, mens den gennemsnitlige udbetaling pr forskeren var $12,500, op på 23 procent i forhold til sidste år.
Dette års højeste fejl udbetaling gik til Guang Gong, en Kinesisk sikkerhedsekspert med Alpha Team på Qihoo 360 Technology Co. Ltd., der modtog $105,000 for en ekstern udnytte kæde, der dannes af to sårbarheder (CVE-2017-5116 og CVE-2017-14904) mod en Google-Pixel enhed. Til dato, det er Google ‘ s højeste udbetaling til en Android bug.
CNET: Bedste Android Apps til 2018
Men fejl jægere var også en succes i en anden Android-relateret bug bounty program, som er på Google Play, Sikkerhed Reward Program.
Lanceret i oktober sidste år, dette program belønner forskere, der finder fejl i populære tredjeparts Android apps. Google sagde, at det accepteres 30 fejlrapporter i det forløbne år og betalt en kombineret bounty beløb af over $100.000.
Sidst, men ikke mindst, svarende til sidste år, har Google også i dag offentliggjort en liste over 250 Android smartphone-modeller, der kører i øjeblikket en version af Android-OS, der kører en opdatering fra de sidste 90 dage.
Google begyndt at offentliggøre denne liste sidste år i et forsøg på at erkende, telefon beslutningstagere, der holder deres enheder op til dato, og også give en vejledende liste til brugere, der ønsker at købe en enhed, der modtager regelmæssigt sikkerhedsopdateringer.
Dette års liste omfatter enheder fra producenter som ANS, ASUS, BlackBerry, Blu, bq, Docomo, Afgørende, Fujitsu, Almindelig Mobil, HTC, Huawei, Itel, Kyocera, Lanix, Lava, LGE, Motorola, Nokia, OnePlus, Oppo, Positivo, Samsung, Sharp, Sony, Techno, Vestel, Vivo, Vodafone, Xiaomi, ZTE, og, selvfølgelig, Google selv.
Relaterede dækning:
Google frigiver endelige developer preview af Flutter Android-telefoner: Opkald til 911 nu automatisk deler din placering
Android i din bil: Google arbejder sammen med Renault, Nissan og Mitsubishi på infotainment-systemer
Android-ejer? Samsung og Google vil gøre messaging meget mere sjov
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0