Google zapłaci za znalezienie luki bezpieczeństwa w Androidzie
17.06.2015 09:32
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Firma Google postanowiła stworzyć kolejny program nagradzania za wyszukiwanie błędów w jej oprogramowaniu. Tym razem chodzi o Androida, który jak do tej pory nie był objęty tego typu akcjami. Za wyszukanie pojedynczej dziury jesteśmy w stanie uzyskać nawet osiem tysięcy dolarów. Program ma zwiększyć bezpieczeństwo najpopularniejszej platformy mobilnej.
Korporacja będzie rozpatrywała jedynie zgłoszenia dotyczące błędów wykrytych na oryginalnym Androidzie i przygotowanej liście urządzeń. Obecnie znajdziemy na niej jedynie najnowsze Nexusy: smartfon Nexus 6 i tablet Nexus 9, jakie zadebiutowały jesienią ubiegłego roku. Deweloperzy i specjaliści w kwestiach zabezpieczeń mogą zgłaszać błędy znalezione w kodzie AOSP, bibliotekach i sterownikach OEM, jądrze systemowym, a także platformie TrustZone OS służącej do zabezpieczania poufnych danych. Błędy znalezione w usługach firmy, a także przeglądarce Chrome można zgłaszać w ramach istniejących już od dawna akcji wynagradzania.
Google poinformowało, że wynagradzać będzie informacje o lukach krytycznych, wysokiego lub średniego ryzyka. W przypadku mniejszych błędów rozpatrywane będą tylko wyjątkowe scenariusze, z drugiej jednak strony nagrodę można otrzymać także za zgłoszenie poprawki, która nie łata błędu, ale wzmacnia bezpieczeństwo Androida. Wynagrodzeniom nie podlegają m.in. zgłoszenia opisujące sytuacje, w których wymagana jest większa interakcja użytkownika jak instalacja i odpowiednie skonfigurowanie aplikacji. Programowi nie podlegają również ataki phishingowe, dziury wymagające wykorzystania ADB, a także błędy powodujące awarię aplikacji. Kwoty wynagrodzeń zaczynają się od 333 dolarów, kończą natomiast na 8000 dolarów – wszystko zależy od stopnia zagrożenia, a także obszerności raportu. Najwięcej otrzymają te osoby, które prześlą zarówno szkodliwy plik, jak i łatkę.
Akcja może zachęcić deweloperów do wynajdywania luk: mogą oni w tej sytuacji nie tylko zarobić, ale i znacznie zwiększyć bezpieczeństwo najpopularniejszego systemu mobilnego na świecie. Oczywiście na razie jest zbyt wcześnie, aby mówić o jakichkolwiek efektach, ale w przyszłości mogą być one istotne – być może uda się uniknąć tak ogromnych wpadek, jak w przypadku komponentu WebView na starych wersjach Androida. Zainteresowanie podobnym programem w przypadku Chrome pokazuje, że akcja jak najbardziej ma sens, a firma przecież może sobie pozwolić na takie, jak dla niej naprawdę niewielkie wydatki. Te mogą się okazać inwestycjami, jakie zaprocentują w przyszłości.
Google nie jest jedyną firmą, która oferuje taki program. W ostatnim czasie wysokość nagród za wyszukiwanie błędów w Firefoksie podniosła Mozilla – teraz odkrywcy mogą liczyć już nie na 3, ale nawet 10 tysięcy dolarów za odkrycie błędu. Najgorszej w porównaniu wypada Microsoft, który co prawda w kwietniu uruchomił program wyszukiwania błędów w nowej przeglądarce Edge, ale zakończy go już 22 czerwca. Dlaczego? Powody nie są znane, działanie jednak dziwi. Zapewnianie bezpieczeństwa jest zagadnieniem ciągłym, korporacja ma natomiast dostęp do znacznie większych funduszy, niż choćby Mozilla.