Google gaat meer geld uitdelen voor het melden van bugs in Android

Google gaat ontwikkelaars die bugs in het Android-besturingssysteem rapporteren een grotere beloning geven. Zo krijgt iemand die een 'proof of concept' toont meer geld, en bij het aanleveren van een patch wordt zelfs 50 procent meer uitbetaald.

De veranderingen in het beloningsprogramma staan uiteengezet op het blog van Google. Volgens de internetgigant worden bij meldingen die sinds 1 juni van dit jaar zijn gedaan grotere beloningen gegeven, mits er aan de voorwaarden wordt voldaan. Zo geldt er bij het aantonen van een Android-bug middels een proof of concept een 33 procent grotere beloning dan voorheen het geval was. Wie daar ook een CTS-test bij doet of een patch voorstelt kan zelfs tot 50 procent meer krijgen.

Daarnaast worden de beloningen voor specifieke kwetsbaarheden opgehoogd. Zo wordt de uitkering bij een zogenaamde remote of proximal kernel exploit opgehoogd van 20.000 tot 30.000 dollar. Wie een kwetsbaarheid aantoont die leidt tot het omzeilen van TrustZone, hardware-gebaseerde beveiliging voor arm-chips, kan in plaats van 30.000 dollar een bedrag van 50.000 dollar verwachten. Datzelfde geldt voor ontwikkelaars die erin slagen om Verified Boot te omzeilen. Vooralsnog zijn er geen ontwikkelaars geweest die een bug in een van die twee systemen hebben aangetoond.

Volgens Google is er sinds vorig jaar, toen het beloningsprogramma van start ging, ongeveer 550.000 dollar uitgedeeld aan 82 ontwikkelaars. Een ontwikkelaar streek 75.750 euro op voor het melden van in totaal 26 bugs. In het afgelopen jaar zijn meer dan 250 gevalideerde bugs gerapporteerd.

Met het ophogen van de beloningen wil Google waarschijnlijk de beveiliging in Android verbeteren. Het mobiele besturingssysteem heeft in de afgelopen jaren veel kritiek te verduren gekregen vanwege gebrekkige beveiliging en vatbaarheid voor malware. Een van de bekendste voorbeelden is de Stagefright-bug, waarbij code op afstand uitgevoerd kon worden door het openen van geïnfecteerde media-bestanden. Mede hierom beloofde Google het beveiligingsbeleid aan te scherpen, onder meer door maandelijks patches uit te brengen.

Door RoD

Admin Mobile

Feedback • 18-06-2016 10:5124

18-06-2016 • 10:51

24 Linkedin

Lees meer

Ontdekker Broadpwn-lek toont mobiele wifi-worm tijdens presentatie Nieuws van 28 juli 2017
Android-toestellen met Qualcomm-chips bevatten ernstige kwetsbaarheid Nieuws van 8 augustus 2016
Google voorziet Android-kernel van aanvullende bescherming Nieuws van 28 juli 2016
Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat uitvoeren Nieuws van 20 juli 2016
Android-malware kan toestellen rooten en code installeren Nieuws van 23 juni 2016
Google dicht zes kritieke lekken in Android voor Nexus-apparaten Nieuws van 3 mei 2016
Google: potentieel schadelijke apps op Android-apparaten gehalveerd in 2015 Nieuws van 19 april 2016
Google brengt beveiligingspatches voor Nexus-toestellen uit Nieuws van 3 november 2015
Meer producten en artikelen
Netwerk en systeembeheer Google

Reacties (24)

-Moderatie-faq
24
24
14
0
0
0
Wijzig sortering
sapphire
18 juni 2016 11:06
Mooi initiatief van Google, maar het vinden van bugs en dichten van lekken door henzelf is niet het grootste probleem.

Alom bekend ondertussen is dat het probleem versplintering van Android versies is én het update-beleid van sommige fabrikanten. (Mede weer een oorzaak van die versplintering).

Dus ga daar eens een permanente te oplossing voor zoeken.
Natuurlijk is er al iets aan gedaan doordat sommige dingen via Play-services geüpdatet kunnen worden en meer fabrikanten maandelijkse patches uitbrengen. Structureel blijft het alleen huilen met de pet op :'(

Persoonlijk ben ik al zover dat ik altijd lang na een release pas een toestel koop en vaak ook pas nadat Cyanogenmod voor een toestel er is verschenen. Zo kon ik bv mijn good'old S3 lang up tot date houden wat betreft beveiliging lang nadat Samsung het toestel vaarwel had gezegd (en dan heb ik het nog niet eens over hoe vloeiender alles draaide).

Uiteraard is zoiets niks voor de normale non-tweaker gebruiker dus mag hier nog steeds een structurele oplossing voor komen :)
mikesmit
@sapphire18 juni 2016 12:36
Veel beveiligingspatches worden niet eens toegepast door fabrikanten of maanden later pas.

De strop over android moet veel strakker zodat google veel meer kan verplichten.
Jij een eigen skin maken? Goed voor jou maar patches binnen een week implementeren en nieuwe versies binnen een maand anders geen play store meer voor jouw producten!
N8w8
@mikesmit18 juni 2016 15:14
Stelt Google teveel eisen, dan wordt Google Android onaantrekkelijk voor fabrikanten, en stappen ze mss over op iets anders (zoals Tizen of Sailfish, of een Android fork zoals die van Amazon), waarna Google nog minder te vertellen heeft over de software die daarop draait.
Maar, ze hoeven ook niet meer te eisen; jij als eindgebruiker bent nog altijd vrij te kiezen voor een Nexus apparaat, waarbij Google _wel_ alles bepaalt.
Kies je voor een niet-Nexus, dan weet je dat Google niet alles bepaalt en er een risico is op weinig updates.
Voor elk wat wils dus!
iAR
@N8w818 juni 2016 17:43
Consumenten kiezen niet voor veiligheid of updates. Daarom is het van belang dat je dat een soort van afdwingt. Google is, met alle goede bedoelingen, veel te lief geweest. Hun succes is tevens hun probleem: er zijn veel te veel apparaten met een oudere, onveilige versie van Android.
N8w8
@iAR18 juni 2016 19:57
Ja, daar heb je gelijk in idd, maar er zit dus wel een limiet aan wat Google _kan_ afdwingen zonder hun dominante positie te verliezen.
Zolang consumenten tevreden zijn over hun telefoon zien ze inderdaad het probleem niet van geen updates. Zelfs technisch begaafder mensen die ik ken kan het vaak niet zo schelen.
Maar, in de praktijk IS dat tot nu toe ook niet zo'n probleem, er hebben zich geen grote rampen/virussen voorgedaan, ondanks alle known exploits.
Het zou wellicht helpen als zo'n ramp zich eens WEL zou voordoen, dan worden consumenten zich van dat belang bewust, en kunnen ze daar hun telefoon op uitkiezen. Of een bank/betaal app die vereist dat je telefoon gepatcht is oid.
ArtGod
@sapphire18 juni 2016 16:25
Klopt, maar datzelfde versplinterde model is ook een factor in het succes van Android. Veel carriers willen hun eigen crapware meeleveren en dromen er stiekem van dat Android er niet toe doet en dat zij bepalen wat de gebruiker ziet, en zij dus recht hebben op een groter deel van de koek.

Met andere woorden: ik weet niet zeker of dit snel opgelost gaat worden. Ze houden elkaar in een houdgreep.
qlum
18 juni 2016 11:05
Ik zou zegen op het moment dat er meer bugs gevonden en gepatcht zijn is het moeilijker om bugs te vinden en zullen er dus minder bugs gevonden worden. Hierdoor kan je met het zelfde budget de beloning verhogen.
Knippr
@qlum18 juni 2016 12:10
Dat klopt. Professionele software testers meten de kwaliteit van software vaak in de tijd die het kost om een nieuwe bug te vinden. Het uitgangspunt is dat er altijd onontdekte bugs zijn, en dat dat aantal niet te schatten is.
Superstoned
@Knippr18 juni 2016 14:06
Yeap. Het is soms wat eng om de uitkeringen te verhogen ;-)

Wij hebben gisteren onze Nextcloud Security Bug Bounty Program aangekondigd, waar je max $5000 kan krijgen - niet veel vergeleken met de honderduizenden bij de grote IT bedrijven, maar binnen de open source wereld een van de hoogste. En er zijn al wat grote namen aan het kijken naar de code en we zijn al een paar duizend kwijt, het gaat hard. Maar tegelijk ook zijn de meeste reacties false positive en niemand heeft nog een echt gevaarlijke bug gevonden...

Dit komt natuurlijk ook mede omdat ownCloud eerder ook een bug bounty program had, al was dat met minder hoge beloningen. Het maakt echt wel uit dat, over tijd, de code steeds beter wordt. Een andere factor die uitmaakt is als je verschillende security hardening oplossingen toepast, waarmee je vaak hele klassen bugs onschadelijk maakt.

[Reactie gewijzigd door Superstoned op 18 juni 2016 14:07]

sapphire
@qlum18 juni 2016 11:10
Zou je denken maar er veranderd nogal eens wat aan de code in de loop van de jaren lijkt me.
Daarnaast een steeds uitgebreidere functionaliteit waarvoor ook weer meer code nodig is.
Dus blijft zoiets nodig en blijf je nieuwe bugs houden.
TripleTech
18 juni 2016 11:35
Dit draait dan nog om android in de puurste vorm, zoals op de Nexus lijn.
Het is goed dat vanuit Google centraal er meer wordt gewerkt aan beveiliging van Android.
Maar is het gelijkertijd ook zo dat wanneer Samsung, HTC of LG een eigen skin er overheen plakken, deze beveiliging door mogelijke gaten in deze skin weer teniet wordt gedaan=
SilverRST
19 juni 2016 01:41
50.000 dollar is voor Google 5 eurocent. In de ICT industrie gaan er jaarlijks miljarden om.
killergrave
18 juni 2016 11:01
Helaas, Ik krijg nog steeds random popups die ik niet kan wegklikken op de note 4. En heb pas paar dagen terug de update naar 6.0.1 gekregen. Chrome browser btw.

[Reactie gewijzigd door killergrave op 18 juni 2016 11:28]

Swerfer
@killergrave18 juni 2016 11:05
Het gaat voornamelijk op veiligheids bugs en geen andere 'hinderlijke' bugs. Ik ken Android niet echt, maar het lijkt mij dat voor de overige bugs wel een feedback systeem bestaat...
Gohan040
@killergrave18 juni 2016 11:29
Random popups? Dit word eigenlijk altijd veroorzaakt door een app en/of advertentie. In jouw geval is het in de chrome browser dus zal het een advertentie zijn. Als je root toegang hebt is dit makkelijk te voorkomen dmv een adblocker zoals adaway. Heb je dit niet dan is het het makkelijkste om de geschiedenis van je browser leeg te maken. Het is idd hoogst irritant en er zijn veel klachten over , het komt ook met vlagen , periodes dat mensen er geen last van hebben en dan bv weer een periode wel. De "je bent besmet met een virus" of de "whatsapp is verlopen" meldingen zijn veel voorkomend.

Artem Russakovskii van Android Police en apkmirror schreef er toevallig pas nog over.

https://plus.google.com/+ArtemRussakovskii/posts/28BtKzj7V34
killergrave
@Gohan04018 juni 2016 11:56
Juist dat bedoelde ik dus precies! on the spot!.
xDiglett
@killergrave18 juni 2016 11:06
Heeft er niets mee te maken.
Zer0
@killergrave18 juni 2016 11:07
Die "bug" moet je bij Google of Samsung melden, dan kan er wat aan gedaan worden, niet hier...
killergrave
@Zer018 juni 2016 11:23
Pardon? Dan zou ik maar een paar artikelen lezen over de recente Exploit Kits die rond zwerven op het internet (Nuclear/Blackhole/ en niet te vergeten Angler ?. Als je kijkt naar de manier waarop ze opereren. Random popups met geinfecteerde malware etc is er ook eentje van. Ik vind het raar als ik op tweakers op een paar links klik en ineens word doorverwezen naar een of andere website met de melding dat mijn telefoon is geinfecteert etc? maar voordat je op die pagina komt word je door tig andere websites doorverwezen in een seconde.

Dit gebeurt trouwens nooit op tweakers. maar weet even de websites niet te noemen je weet wel welke sites het zijn... :)

[Reactie gewijzigd door killergrave op 18 juni 2016 11:25]

Zer0
@killergrave18 juni 2016 11:29
Dit artikel gaat over bugs in Android, niet over mogelijk malafide websites....
Iblies
@killergrave18 juni 2016 11:41
Gezien het bedrag dat hier is uitgegeven kan ik me voorstellen dat er mensen zijn die niet over de streep worden getrokken omdat die op de zwarte markt meer opleveren.

75.750 Dollar voor maar liefst 26 bugs is ook peanuts. De kans dat een medewerker dat voor mekaar krijgt is klein terwijl die al gauw meer kost,

diegene die dit aangeeft heeft net genoeg inkomsten om een a twee jaar vooruit te komen.


Ik vraag me af wat nodig is om daadwerkelijk budget vrij te maken om je core-business overeind te houden. Misschien een onbeschofte vergelijking voor sommigen, maar als je enkele managers kunt wegsnijden of lager kunt inschalen dan komt er vanzelf geld vrij.
mikesmit
@Iblies18 juni 2016 12:32
De beloning voor de bug meldingen zij inderdaad bijzonder laag. Zwarte markt betaald vele veelvouden voor die bugs, als bedrijf zijnde moet je de beloningen in de buurt houden van de zwarte markt bedragen om te zorgen dat mensen de melding bij jou doen.

Budget vrij maken in grote bedrijven is vaak vrij eenvoudig. Hoe groter een bedrijf is hoe lager de productiviteit (assistenten van assistenten). Zeker wanneer een bedrijf snel gegroeid is.
Mrjraider
18 juni 2016 14:44
Titel is geheel onjuist. Het moet zijn: "Google gaat meer geld investeren in een beter update beleid voor Android" :/ Werkelijk waar, Google. Steek die miljoenen nu eens in jullie OS!!
ArtGod
18 juni 2016 16:22
Wat we nodig hebben is door Google gefaciliteerde updates. Wij gebruikers hebben er niets aan als carriers en fabrikanten de patches nooit uitbrengen. En het is ondoenlijk om een nieuw toestel te kopen voor een security update.

Google heeft gewoon tot nu toe geluk gehad (ook vanwege de robuustheid van Linux) dat een worm geen honderd miljoen toestellen heeft gewist.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee