Google er tilsynelatende så fornøyde med hvordan selskapets dusørordning for blant annet Chrome fungerer, at selskapet nå innfører en lignende ordning for Android.
Google: – For vanskelig å finne sårbarheter
Kun Nexus
Foreløpig er det kun sårbarheter som berører den til enhver tid nyeste utgaven av Android på enhetene Nexus 6 og 9 som omfattes av ordningen. Dette inkluderer sårbarheter som blir funnet i AOSP-koden, OEM-kode som biblioteker og drivere, kjernen, samt TrustZone OS og tilhørende moduler.
Ordningen gjelder ikke sårbarheter som omfattes av andre dusørordninger fra Google.
Nexus-enhetene bruker en utgave av Android som i stor grad er identisk med AOSP-utgaven (Android Open Source Project), men har også en del mer eller mindre proprietære tillegg.
Det er likevel slik at det meste av programvaren som Nexus-enhetene bruker, også brukes av andre, relativt nye Android-enheter. Dermed vil de fleste sårbarheter som berører Nexus-enhetene, også berøre mange andre Android-enheter.
Også andre: Webrivaler sammen om ny dusørordning
Ferdige patcher
I utgangspunktet er ikke dusørene som Google utbetaler for Android-sårbarheter så store, maksimalt 2000 dollar. Men dersom tipseren også lager koden til en sikkerhetsfiks og tester denne med Compatibility Test Suite (CTS), kan dusøren bli opptil fire ganger så høy.
Dusøren kan bli økt med opptil 30 000 dollar dersom fjernutnyttelse av sårbarheten fører til kompromittering av kjernen, Trusted Execution Environment eller Verified Boot.
Google ber om at de som oppdager sårbarheter holder disse hemmelig i 90 dager etter at Google har blitt gjort kjent med problemet, slik at selskapet gis tid til å rette problemet før detaljene blir gjort tilgjengelige for alle.
Dette tilsvarer i utgangspunktet den fristen Googles eget Project Zero opererer med, men denne fristen ble gjort noe mindre absolutt tidligere i år.
Bakgrunn: Google lover oppmyket praksis
