Noll
Säkerhet forskare har misslyckats med att vinna högsta belöning i Google ‘s Android-bug bounty” – programmet igen. Detta är tredje året i rad bugg jägare misslyckas med att vinna den största vinsten Google är villiga att betala för någon typ av säkerhet-relaterade fel.
Någon som skulle ha lämnat in en framgångsrik ansökan till en avlägsen utnyttja kedja som leder till en TrustZone eller Kontrolleras Boot kompromiss på en Android-enhet som kunde ha tjänat upp till $200,000, enligt Android Säkerhet Belöningar, namnet på Googles Android-bug bounty program.
Dessutom: Tio av iOS-appar som fångats samla in och sälja läge data
Under åren har forskare funnit att det är mycket svårt att sätta ihop fjärrkontrollen utnyttja kedjor som kan äventyra TrustZone eller Kontrolleras Boot, två av Android OS’ mest kraftfulla säkerhetsfunktioner.
Google erbjuder stora belöningar i programmets första år, 2015, men att se till att forskare inte kommer upp med fjärrkontroll utnyttjar mot TrustZone eller Kontrolleras Boot, ökade företaget belöningar till $50 000 i juni 2016, och sedan till $200,000 förra året, i juni 2017.
Projektet Noll, Google ‘ s in-house team av säkerhet forskare, höll också sina egna separata tävling mellan September-Mars 2016 och 2017, under vilken de erbjöd även en $200 000 i belöning för samma typ av remote Android hack, men ingen lyckades att hävda att priset heller.
TechRepublic: Googles Android Saker är här, öka säkerheten för företag IoT installationer
Men trots att underlåta att vinna högsta vinsten i Google ‘ s Android-bug bounty, forskare var mycket frikostiga med att hitta andra säkerhetsbrister. I ett blogginlägg i dag, säger Google att sedan programmet lanserades under 2015, betalade företaget över $3 miljoner i belöning, med ungefär $1 miljon kronor per år.
I en tillbakablick på det gångna året, Jason Woloz och Mayank Jain av Android Security & Privacy Team sade 99 olika bugg jägare fram 470 sårbarhet rapporter under det senaste året.
Den genomsnittliga utbetalningen per godkänd felrapport var $2,600, medan den genomsnittliga utbetalningen per forskare var $12,500, en ökning med 23 procent jämfört med förra året.
Årets högsta bugg utbetalning gick till Guang Gong, en Kinesisk säkerhet forskare med Alpha Teamet på Qihoo 360 Technology Co. Ltd., som fick $105,000 för en avlägsen utnyttja kedja som bildas av två sårbarheter (CVE-2017-5116 och CVE-2017-14904) mot en Google Pixel enhet. Hittills är detta Googles högsta utbetalningen för en Android-bugg.
CNET: Bästa Android Apps för 2018
Men bug jägare var också framgångsrik i en annan Android-relaterade bug bounty programmet, som är det Google Play Säkerhet Reward Program.
Lanserades förra året i oktober, detta program belönar forskare som hittar fel i populära tredje part Android-appar. Google sa att det accepteras 30 felrapporter under det senaste året och betalat en kombination bounty värde av över $100 000.
Sist men inte minst, likt förra året, Google också publicerade idag en lista över 250 Android-smartphone-modeller som för närvarande kör en version av Android som körs av en säkerhetsuppdatering från de senaste 90 dagarna.
Google började publicera denna lista förra året i ett försök att känna igen telefonen beslutsfattare som håller sina enheter upp till datum, och även ge en vägledande lista för användare som vill köpa en enhet som regelbundet tar emot säkerhetsuppdateringar.
Årets lista innehåller enheter från tillverkare såsom ANS, ASUS, BlackBerry, Blu, bq, Docomo, Viktigt, Fujitsu, General Mobile, HTC, Huawei, Itel, Kyocera, Lanix, Lava, LGE, Motorola, Nokia, OnePlus, Oppo, Positivo, Samsung, Sharp, Sony, Tecno, Vestel, Vivo, Vodafone, Xiaomi, ZTE, och, naturligtvis, Google själva.
Relaterade täckning:
Google släpper slutliga developer preview av Fladder Android-telefoner: Ringa 911 nu automatiskt delar din plats
Android i bilen: Google samarbetar med Renault, Nissan och Mitsubishi på infotainment-system
Android-ägare? Samsung och Google vill göra messaging mycket roligare
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0