Google запускает программу Android Security Awards, в рамках которой будут награждены пользователи, обнаружившие проблемы в безопасности операционной системы Android. В какой-то степени разработчик начинает конкурировать с армией США, которая также предлагает продавать информацию об уязвимостях в мобильной операционной системе, пишет hi-tech.mail.ru со ссылкой на cnet.com. 

Читать далее

Дыры в безопасности самой популярной мобильной ОС всё чаще используются хакерами и создателями вирусов, что становится серьёзной причиной потери средств пользователями. При этом критические проблемы регулярно обнаруживаются разработчиками. В частности, в мае была найдена проблема, из-за которой подверженными угрозе оказалось более 500 тысяч устройств, а Эдвард Сноуден заявлял, что вирусы хотели распространить через официальный магазин Google Play американские спецслужбы.

За ошибки категории Moderate Google готов заплатить 500 долларов США, за проблемы, представляющие высокую опасность – 1000 долларов, за критические дыры – 2000 долларов. Если он приложит к сообщению подробное описание ошибки, сможет воспроизвести её без прямого доступа к устройству и создаст патч, закрывающий проблему, то он может претендовать на награду в размере $38 тысяч.

В Google подчеркивают:

«Финальная сумма вознаграждения всегда выбирается в соответствии с решением экспертной комиссии. В частности, мы можем принять решение о выплате более высоких сумм за чрезвычайно сложные или серьезные уязвимости; решайте, что для вас выгоднее: единичный отчет, включающий описание нескольких проблем или же несколько тесно связанных отчетов, гарантирующих единую награду».

Стоит отметить, что, по условиям программы, участники конкурса могут обнаруживать уязвимости только на устройствах, предлагаемых официальными ритейлерами компании в США, то есть на Nexus 6 и Nexus 9. Вознаграждение будет выплачено только первому участнику, обнаружившему уязвимость. Если проблема возникает после выполнения сложного набора действий, такая заявка также рассмотрена не будет. 

Хотя Google постоянно занимается поиском уязвимостей в Android, специалисты компании не могут обнаружить их все. Именно поэтому помощь независимых экспертов в области безопасности в анализе проблем операционной системы может повысить шансы Google в обнаружении дыр до момента, когда о них станет известно широкой общественности.

Аналитики из компании FireEye недавно опубликовали отчет, в котором говорится, что с января по октябрь 2014 года количество вредоносного программного обеспечения для Android возросло на 500% в сравнении с аналогичным периодом 2013 года. Вместе с тем в апреле 2015 года в Google заявили, что количество потенциально опасного ПО, устанавливаемого на устройства под управлением Android, сократилось на 50% за год, и в настоящее время лишь на 1% устройств имеются вредоносные программы. Что ж, по словам экспертов, это означает, что около 10 миллионов Android-планшетов, смартфонов и других гаджетов содержат вирусное ПО. 

Правительство США платит за уязвимости в iOS, Android и Windows для слежки

Аналитик Фонда электронных рубежей (EFF) — организация занимается защитой частной жизни граждан — Дэйв Маас (Dave Maass) обратил внимание на странное объявление на интернет-площадке госзакупок. Согласно его словам, армия США оставила объявление, из которого следует, что правительство хочет найти подрядчика для получения доступа к уязвимости систем, отчетам об ошибках и бреши кода, влияющие на работу широко распространенных систем и ПО. Основной интерес в госзаказе проявляют к продуктам таких разработчиков, как Microsoft, Apple, Adobe, EMC, Novell, IBM, Cisco Systems и Linksys. В объявлении также подчеркнут интерес к уязвимостям Android, Linux и Java, однако данным перечнем работа не ограничивается. 

Подрядчик должен будет предоставлять правительству список доступных для эксплуатации «дыр» безопасности нулевого дня. На рассмотрение принимаются все найденные ошибки не старше полугода, а также отсутствующие в базе данных. Права на использование эксплойтов, согласно условиям сотрудничества, должны быть переданы американскому правительству. Вскоре после размещения Дэйвом Маасом ссылки на данный документ, объявление пропало с сайта. 

Специалисты EFF отмечают, что данные методы вызывают сомнение в вопросах обеспечения анонимности и заботы правительства США о сохранности данных пользователей, ведь такое поведение могло бы быть обоснованным, если целью указывалось направление данных уязвимостей компаниям и способствование их скорейшему закрытию. Вместо этого, они готовы выложить значительные суммы за возможность взлома систем в попытках организации слежки за пользователями.