Google tilbyr dusør for sårbarheter i en rekke produkter, ikke bare selskapets egne. Nå har selskapet også etablert en slik ordning for Android. (Foto: PantherMedia/Ryan Jorgensen og digi.no)

Dusørordning

Utlyser dusør for Android-sårbarheter

Men Google betaler langt mer dersom en ferdig patch følger med.

Google er tilsynelatende så fornøyde med hvordan selskapets dusørordning for blant annet Chrome fungerer, at selskapet nå innfører en lignende ordning for Android.

Google: – For vanskelig å finne sårbarheter 

Kun Nexus

Foreløpig er det kun sårbarheter som berører den til enhver tid nyeste utgaven av Android på enhetene Nexus 6 og 9 som omfattes av ordningen. Dette inkluderer sårbarheter som blir funnet i AOSP-koden, OEM-kode som biblioteker og drivere, kjernen, samt TrustZone OS og tilhørende moduler.

Ordningen gjelder ikke sårbarheter som omfattes av andre dusørordninger fra Google.

Nexus-enhetene bruker en utgave av Android som i stor grad er identisk med AOSP-utgaven (Android Open Source Project), men har også en del mer eller mindre proprietære tillegg.

Det er likevel slik at det meste av programvaren som Nexus-enhetene bruker, også brukes av andre, relativt nye Android-enheter. Dermed vil de fleste sårbarheter som berører Nexus-enhetene, også berøre mange andre Android-enheter.

Også andre: Webrivaler sammen om ny dusørordning

Ferdige patcher

I utgangspunktet er ikke dusørene som Google utbetaler for Android-sårbarheter så store, maksimalt 2000 dollar. Men dersom tipseren også lager koden til en sikkerhetsfiks og tester denne med Compatibility Test Suite (CTS), kan dusøren bli opptil fire ganger så høy.

Dusøren kan bli økt med opptil 30 000 dollar dersom fjernutnyttelse av sårbarheten fører til kompromittering av kjernen, Trusted Execution Environment eller Verified Boot.

Google ber om at de som oppdager sårbarheter holder disse hemmelig i 90 dager etter at Google har blitt gjort kjent med problemet, slik at selskapet gis tid til å rette problemet før detaljene blir gjort tilgjengelige for alle.

Dette tilsvarer i utgangspunktet den fristen Googles eget Project Zero opererer med, men denne fristen ble gjort noe mindre absolutt tidligere i år.

Bakgrunn: Google lover oppmyket praksis 

 

Til toppen