The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Google начала выплату вознаграждений за выявление уязвимостей в Android

16.06.2015 21:53

Компания Google расширила действие программы выплаты вознаграждений за выявление уязвимостей и выполнение работ по повышению безопасности. Помимо браузера Chrome, сервисов Google и некоторых свободных проектов, программа выплаты вознаграждений отныне будет охватывать и платформу Android.

Наибольшие суммы будут выплачиваться за выявление методов обхода защиты, таких как ASLR, NX и sandbox-изоляция. Публикуемые уязвимости должны проявляться на актуальных моделях смартфонов и планшетов Nexus (Nexus 6 и Nexus 9). Сумма вознаграждения зависит от опасности проблемы, подготовки тестовых сценариев и предоставлении готовых патчей и эксплоитов. Например, за критическую уязвимость может быть выплачено 8 тысяч долларов плюс 30 тысяч долларов, если представлен удалённо атакующий эксплоит, обходящий ограничения TEE (TrustZone) или Verified Boot.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Соревнование по взлому Chrome OS теперь будет продолжаться непрерывно
  3. OpenNews: Итоги инициативы Google по повышению безопасности популярного свободного ПО
  4. OpenNews: Компания Google увеличила размер вознаграждения за усиление безопасности свободного ПО
  5. OpenNews: Компания Google расширила действие инициативы по повышению безопасности свободного ПО
  6. OpenNews: Mozilla увеличивает размер вознаграждения за выявление уязвимостей в Firefox
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/42444-android
Ключевые слова: android, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:16, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    А Google не боится разорится на своем ведре с уязвимостями
     
     
  • 2.2, Аноним (-), 22:31, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так не IOS же, вот там, да, в трубу можно вылететь.
     
     
  • 3.19, iPony (?), 08:47, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Пользователи iPhone пишут «apple это круто», пользователи ведроида пишут «apple гомно, азаза»
     
     
  • 4.23, AlexYeCu (ok), 10:20, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    iPony думает, что не палится…

    Вообще, в твоём троллесуждение есть ошибка. Пользователи Андроида нередко считают Андроид теми ещё фекалиями, но с сожалением вынуждены констатировать, что остальные варианты ещё гаже.

     
     
  • 5.28, ananymous (?), 15:00, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Если не считать не выпиленные по умолчанию официальные сервисы прослушивания, поднюхивания, подглядывания, подлизывания и т.д., то андроид очень даже хорош.
     
     
  • 6.33, AlexYeCu (ok), 15:59, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Если не считать не выпиленные по умолчанию официальные сервисы прослушивания, поднюхивания, подглядывания, подлизывания

    А ты его на этом ловил? Т.е. не Самсунговские, к примеру, поделки, а именно ванильный Андроид? Т.е. чтоб к Гуглу попадали какие-то данные, кроме тех, что ты сам отправляешь: gamail/gtalk, гуглопочта, геопозиционирование, DNS-трафик, если через 8.8.8.8 гонишь?

    >то андроид очень даже хорош

    О, он офигенен! Например, там grep не понимает опции -i! Вот как можно было его так собрать? А таблица монтирования повергает в трепет: трёхвинтовый десктоп с 2-я системами в сравнении с оной прост и понятен. Плюс почти ненастраиваемый Гуй. Плюс отсутсвие внятного переключения клавиатур «на лету» — а переключать приходится, поскольку все с изъяном: одна не хочет воодимую с хардварной клавы кириллицу понимать, вторая — с ущербной раскладкой для скорбных мозгом. Ещё можно про механизм завершения работы приложений вспомнить. И про изуродованное монтирование внешних носителей, которое проще сторонней утилитой вост\становить, чем разобраться, что там накосячили. Ещё могу вспомнить про необходимость получения root-прав на своём устройстве и сложные взаимоотношения рутованного устройства и OTA-обновлений. А так всё отлично, ага.

     
     
  • 7.37, Аноним (-), 23:58, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Например, там grep не понимает опции -i! Вот как можно было его так собрать?

    да вроде понимает,

    shell@ja3g:/ $ grep  
    usage: grep [-abcDEFGHhIiJLlmnOoPqRSsUVvwxZz] [-A num] [-B num] [-C[num]]
            [-e pattern] [-f file] [--binary-files=value] [--color=when]
            [--context[=num]] [--directories=action] [--label] [--line-buffered]
            [pattern] [file ...]


    но это не полноценный греп же, его там тулбокс предоставляет.

     
     
  • 8.41, AlexYeCu (ok), 13:32, 18/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Именно что вроде Он эту опцию игнорирует Если взять из arm-ового линукса взять... текст свёрнут, показать
     
  • 5.38, soarin (ok), 06:13, 18/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Каментом выше замечено. Уж что-то, но по безопасности ведроиду с iOS не сравниться - это очевидный факт.
    Я не могу назвать хорошими словами то, что творится на ведроиде с безопасностью. Например, несколько лет назад меня поразило, что, например, в AdSense вообще процентов 75% тупо разводы с троянами - а гуглу до этого дела нет. Щас уже ничему не удивляюсь.
     
     
  • 6.43, rob pike (?), 22:36, 18/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только из самого недавнего

    >Due to the way Apple built apps to communicate with each other, the paper writes, researchers were able to "steal such confidential information as the passwords for iCloud, email and bank
    >Xing and his team informed Apple, which asked for six months to deal with issue. The six months have now passed and the vulnerabilities persist, say the researchers.

     
  • 4.27, vn971 (ok), 14:54, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не судите по себе.

    Для меня лично продукций эппла и microsoft просто не существует, в том плане что они отметаются на первом же этапе и больше не рассматриваются (closed source).

    Из оставшихся систем да, можно как-то выбирать (cyanogen, replicant, tizen, firefox OS, sailfish...).

     
     
  • 5.31, iPony (?), 15:50, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Не судите по себе.

    А я тут причем? Не пользуюсь ни смартфонами от apple, ни смартфонами на android

     
  • 2.5, Аноним (-), 23:27, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А Google не боится разорится на своем ведре с уязвимостями

    По центу за штуку? Нормально.


     
  • 2.12, soarin (ok), 06:16, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так ведро дыряво отсутствием обновлений. Так-то в сферической android os, которую не видят подавляющие количество пользователей, с безопасностью более-менее.
     
     
  • 3.21, Аноним (-), 09:13, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Про Nexus вы не слышали, наверное?
     
     
  • 4.22, Василий Топоров (?), 10:18, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так а какой процент Нексусов от всех Андройдов? Как будто вы не знаете, что к рядовому телефону дай Бог, если выйдет 1-2 обновления, а потом производитель забивает. И никакой ванильный Андройд на него не поставишь.
     
     
  • 5.29, orgkhnargh (ok), 15:28, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А для Google какая разница, будут ли обновления телефонов, к которым он не имеет отношения? Google сертифицирует Nexus и ему важно, чтобы Nexus был хорошим и безопасным. Обновление прошивок остальных телефонов - работа производителей этих самых телефонов.
     
     
  • 6.34, Алоним (?), 16:00, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В нормальных дистрибутивах линукса от обновлений не успеваеш отбиватся. А в этом супер-пупер-люкс продукте обновления два-три раза в год в лучшем случае.

    Монолитность системы — это проблема в безопасности.

     
  • 4.39, iPony (?), 06:45, 18/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Даже для нексусов гугл во время смены перевода времени в Этой Стране недавно сказали 'жуйте чупа-чупс'. 'НеЛинукс' на котором нельзя обновить таймзоны.
     

  • 1.6, анон (?), 23:28, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    бессмысленная инициатива, у большинства устройств система либо обновляется крайне редко либо не обновляется вовсе
     
     
  • 2.13, soarin (ok), 06:19, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так кто про тех-то говорит. Ведроидо-устройства обновляются покупкой новых, именно для них это и делается.
     
  • 2.25, Аноним (-), 14:25, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Редко обновляются это полбеды, не редко туда впиндюривают ненужные приложения, которые запросто могут добавлять уязвимости.
     
     
  • 3.40, iPony (?), 06:49, 18/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Изредка бывает, что уже сразу трояны в заводскую прошивку пихают. man HighScreen
     

  • 1.14, Аноним (-), 07:04, 17/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нас АНОНИМОВ такими печеньками не заманишь!!! мы преданы своему общему делу и свято чтим принципы анонимности!!! Славься святой Аноним и дела твои святые! Анонимь!
     
     
  • 2.18, Аноним (-), 08:38, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    какими печеньками?
     
     
  • 3.20, Аноним (-), 09:05, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Любыми.
     
     
  • 4.35, Аноним (-), 17:32, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сам с собой разговариваешь? Сестра, 5 кубиков галопередола этому больному
     
  • 4.36, Аноним (-), 19:38, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а Тульскими пряниками? ;)
     

  • 1.15, Аноним (15), 07:19, 17/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    выгоднее поэсплуатировать уязвимость
    DC-Unlocker хотяб. Они враги раз секуре бут.
    Лочат мое устройство чтоб я не смог эту винду удалить. Правльно же
     
     
  • 2.16, Аноним (-), 08:03, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет! Это не хорошо! Каждый порядочный человек должен анонимно сообщить об уязвимости и отказаться от денег! А эксплуатировать уязвимость, это противозаконно! И если ты поступаешь противозаконно, надо пойти в отделение полиции и добровольно написать против себя заявление и требовать заключение в тюрьму!
     
     
  • 3.17, Аноним (-), 08:21, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Расплодилось халявщиков, желающих на казенных харчах в тюрьме сидеть.
     

  • 1.26, Аноним (-), 14:28, 17/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сейчас дырки найдут, закроют и в новых устройствах сделают root-lock, который будет убрать все сложнее и сложнее.
     
  • 1.30, Kodir (ok), 15:47, 17/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Им бы не уязвимости искать, а операционку нормальную делать! И инструменты человеческие, а не маразмы типа Эклипса.
     
     
  • 2.32, iPony (?), 15:52, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Им бы не уязвимости искать, а операционку нормальную делать! И инструменты человеческие,
    > а не маразмы типа Эклипса.

    Так по инструментам все норм, они же на базу idea от jetbrains перешли.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру