Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties

Google gaat ontwikkelaars die bugs in het Android-besturingssysteem rapporteren een grotere beloning geven. Zo krijgt iemand die een 'proof of concept' toont meer geld, en bij het aanleveren van een patch wordt zelfs 50 procent meer uitbetaald.

De veranderingen in het beloningsprogramma staan uiteengezet op het blog van Google. Volgens de internetgigant worden bij meldingen die sinds 1 juni van dit jaar zijn gedaan grotere beloningen gegeven, mits er aan de voorwaarden wordt voldaan. Zo geldt er bij het aantonen van een Android-bug middels een proof of concept een 33 procent grotere beloning dan voorheen het geval was. Wie daar ook een CTS-test bij doet of een patch voorstelt kan zelfs tot 50 procent meer krijgen.

Daarnaast worden de beloningen voor specifieke kwetsbaarheden opgehoogd. Zo wordt de uitkering bij een zogenaamde remote of proximal kernel exploit opgehoogd van 20.000 tot 30.000 dollar. Wie een kwetsbaarheid aantoont die leidt tot het omzeilen van TrustZone, hardware-gebaseerde beveiliging voor arm-chips, kan in plaats van 30.000 dollar een bedrag van 50.000 dollar verwachten. Datzelfde geldt voor ontwikkelaars die erin slagen om Verified Boot te omzeilen. Vooralsnog zijn er geen ontwikkelaars geweest die een bug in een van die twee systemen hebben aangetoond.

Volgens Google is er sinds vorig jaar, toen het beloningsprogramma van start ging, ongeveer 550.000 dollar uitgedeeld aan 82 ontwikkelaars. Een ontwikkelaar streek 75.750 euro op voor het melden van in totaal 26 bugs. In het afgelopen jaar zijn meer dan 250 gevalideerde bugs gerapporteerd.

Met het ophogen van de beloningen wil Google waarschijnlijk de beveiliging in Android verbeteren. Het mobiele besturingssysteem heeft in de afgelopen jaren veel kritiek te verduren gekregen vanwege gebrekkige beveiliging en vatbaarheid voor malware. Een van de bekendste voorbeelden is de Stagefright-bug, waarbij code op afstand uitgevoerd kon worden door het openen van geïnfecteerde media-bestanden. Mede hierom beloofde Google het beveiligingsbeleid aan te scherpen, onder meer door maandelijks patches uit te brengen.

Moderatie-faq Wijzig weergave

Reacties (24)

Mooi initiatief van Google, maar het vinden van bugs en dichten van lekken door henzelf is niet het grootste probleem.

Alom bekend ondertussen is dat het probleem versplintering van Android versies is n het update-beleid van sommige fabrikanten. (Mede weer een oorzaak van die versplintering).

Dus ga daar eens een permanente te oplossing voor zoeken.
Natuurlijk is er al iets aan gedaan doordat sommige dingen via Play-services gepdatet kunnen worden en meer fabrikanten maandelijkse patches uitbrengen. Structureel blijft het alleen huilen met de pet op :'(

Persoonlijk ben ik al zover dat ik altijd lang na een release pas een toestel koop en vaak ook pas nadat Cyanogenmod voor een toestel er is verschenen. Zo kon ik bv mijn good'old S3 lang up tot date houden wat betreft beveiliging lang nadat Samsung het toestel vaarwel had gezegd (en dan heb ik het nog niet eens over hoe vloeiender alles draaide).

Uiteraard is zoiets niks voor de normale non-tweaker gebruiker dus mag hier nog steeds een structurele oplossing voor komen :)
Veel beveiligingspatches worden niet eens toegepast door fabrikanten of maanden later pas.

De strop over android moet veel strakker zodat google veel meer kan verplichten.
Jij een eigen skin maken? Goed voor jou maar patches binnen een week implementeren en nieuwe versies binnen een maand anders geen play store meer voor jouw producten!
Stelt Google teveel eisen, dan wordt Google Android onaantrekkelijk voor fabrikanten, en stappen ze mss over op iets anders (zoals Tizen of Sailfish, of een Android fork zoals die van Amazon), waarna Google nog minder te vertellen heeft over de software die daarop draait.
Maar, ze hoeven ook niet meer te eisen; jij als eindgebruiker bent nog altijd vrij te kiezen voor een Nexus apparaat, waarbij Google _wel_ alles bepaalt.
Kies je voor een niet-Nexus, dan weet je dat Google niet alles bepaalt en er een risico is op weinig updates.
Voor elk wat wils dus!
Consumenten kiezen niet voor veiligheid of updates. Daarom is het van belang dat je dat een soort van afdwingt. Google is, met alle goede bedoelingen, veel te lief geweest. Hun succes is tevens hun probleem: er zijn veel te veel apparaten met een oudere, onveilige versie van Android.
Ja, daar heb je gelijk in idd, maar er zit dus wel een limiet aan wat Google _kan_ afdwingen zonder hun dominante positie te verliezen.
Zolang consumenten tevreden zijn over hun telefoon zien ze inderdaad het probleem niet van geen updates. Zelfs technisch begaafder mensen die ik ken kan het vaak niet zo schelen.
Maar, in de praktijk IS dat tot nu toe ook niet zo'n probleem, er hebben zich geen grote rampen/virussen voorgedaan, ondanks alle known exploits.
Het zou wellicht helpen als zo'n ramp zich eens WEL zou voordoen, dan worden consumenten zich van dat belang bewust, en kunnen ze daar hun telefoon op uitkiezen. Of een bank/betaal app die vereist dat je telefoon gepatcht is oid.
Klopt, maar datzelfde versplinterde model is ook een factor in het succes van Android. Veel carriers willen hun eigen crapware meeleveren en dromen er stiekem van dat Android er niet toe doet en dat zij bepalen wat de gebruiker ziet, en zij dus recht hebben op een groter deel van de koek.

Met andere woorden: ik weet niet zeker of dit snel opgelost gaat worden. Ze houden elkaar in een houdgreep.
Ik zou zegen op het moment dat er meer bugs gevonden en gepatcht zijn is het moeilijker om bugs te vinden en zullen er dus minder bugs gevonden worden. Hierdoor kan je met het zelfde budget de beloning verhogen.
Dat klopt. Professionele software testers meten de kwaliteit van software vaak in de tijd die het kost om een nieuwe bug te vinden. Het uitgangspunt is dat er altijd onontdekte bugs zijn, en dat dat aantal niet te schatten is.
Yeap. Het is soms wat eng om de uitkeringen te verhogen ;-)

Wij hebben gisteren onze Nextcloud Security Bug Bounty Program aangekondigd, waar je max $5000 kan krijgen - niet veel vergeleken met de honderduizenden bij de grote IT bedrijven, maar binnen de open source wereld een van de hoogste. En er zijn al wat grote namen aan het kijken naar de code en we zijn al een paar duizend kwijt, het gaat hard. Maar tegelijk ook zijn de meeste reacties false positive en niemand heeft nog een echt gevaarlijke bug gevonden...

Dit komt natuurlijk ook mede omdat ownCloud eerder ook een bug bounty program had, al was dat met minder hoge beloningen. Het maakt echt wel uit dat, over tijd, de code steeds beter wordt. Een andere factor die uitmaakt is als je verschillende security hardening oplossingen toepast, waarmee je vaak hele klassen bugs onschadelijk maakt.

[Reactie gewijzigd door Superstoned op 18 juni 2016 14:07]

Zou je denken maar er veranderd nogal eens wat aan de code in de loop van de jaren lijkt me.
Daarnaast een steeds uitgebreidere functionaliteit waarvoor ook weer meer code nodig is.
Dus blijft zoiets nodig en blijf je nieuwe bugs houden.
Dit draait dan nog om android in de puurste vorm, zoals op de Nexus lijn.
Het is goed dat vanuit Google centraal er meer wordt gewerkt aan beveiliging van Android.
Maar is het gelijkertijd ook zo dat wanneer Samsung, HTC of LG een eigen skin er overheen plakken, deze beveiliging door mogelijke gaten in deze skin weer teniet wordt gedaan=
50.000 dollar is voor Google 5 eurocent. In de ICT industrie gaan er jaarlijks miljarden om.
Helaas, Ik krijg nog steeds random popups die ik niet kan wegklikken op de note 4. En heb pas paar dagen terug de update naar 6.0.1 gekregen. Chrome browser btw.

[Reactie gewijzigd door killergrave op 18 juni 2016 11:28]

Het gaat voornamelijk op veiligheids bugs en geen andere 'hinderlijke' bugs. Ik ken Android niet echt, maar het lijkt mij dat voor de overige bugs wel een feedback systeem bestaat...
Random popups? Dit word eigenlijk altijd veroorzaakt door een app en/of advertentie. In jouw geval is het in de chrome browser dus zal het een advertentie zijn. Als je root toegang hebt is dit makkelijk te voorkomen dmv een adblocker zoals adaway. Heb je dit niet dan is het het makkelijkste om de geschiedenis van je browser leeg te maken. Het is idd hoogst irritant en er zijn veel klachten over , het komt ook met vlagen , periodes dat mensen er geen last van hebben en dan bv weer een periode wel. De "je bent besmet met een virus" of de "whatsapp is verlopen" meldingen zijn veel voorkomend.

Artem Russakovskii van Android Police en apkmirror schreef er toevallig pas nog over.

https://plus.google.com/+ArtemRussakovskii/posts/28BtKzj7V34
Juist dat bedoelde ik dus precies! on the spot!.
Heeft er niets mee te maken.
Die "bug" moet je bij Google of Samsung melden, dan kan er wat aan gedaan worden, niet hier...
Pardon? Dan zou ik maar een paar artikelen lezen over de recente Exploit Kits die rond zwerven op het internet (Nuclear/Blackhole/ en niet te vergeten Angler ?. Als je kijkt naar de manier waarop ze opereren. Random popups met geinfecteerde malware etc is er ook eentje van. Ik vind het raar als ik op tweakers op een paar links klik en ineens word doorverwezen naar een of andere website met de melding dat mijn telefoon is geinfecteert etc? maar voordat je op die pagina komt word je door tig andere websites doorverwezen in een seconde.

Dit gebeurt trouwens nooit op tweakers. maar weet even de websites niet te noemen je weet wel welke sites het zijn... :)

[Reactie gewijzigd door killergrave op 18 juni 2016 11:25]

Dit artikel gaat over bugs in Android, niet over mogelijk malafide websites....
Gezien het bedrag dat hier is uitgegeven kan ik me voorstellen dat er mensen zijn die niet over de streep worden getrokken omdat die op de zwarte markt meer opleveren.

75.750 Dollar voor maar liefst 26 bugs is ook peanuts. De kans dat een medewerker dat voor mekaar krijgt is klein terwijl die al gauw meer kost,

diegene die dit aangeeft heeft net genoeg inkomsten om een a twee jaar vooruit te komen.


Ik vraag me af wat nodig is om daadwerkelijk budget vrij te maken om je core-business overeind te houden. Misschien een onbeschofte vergelijking voor sommigen, maar als je enkele managers kunt wegsnijden of lager kunt inschalen dan komt er vanzelf geld vrij.
De beloning voor de bug meldingen zij inderdaad bijzonder laag. Zwarte markt betaald vele veelvouden voor die bugs, als bedrijf zijnde moet je de beloningen in de buurt houden van de zwarte markt bedragen om te zorgen dat mensen de melding bij jou doen.

Budget vrij maken in grote bedrijven is vaak vrij eenvoudig. Hoe groter een bedrijf is hoe lager de productiviteit (assistenten van assistenten). Zeker wanneer een bedrijf snel gegroeid is.
Titel is geheel onjuist. Het moet zijn: "Google gaat meer geld investeren in een beter update beleid voor Android" :/ Werkelijk waar, Google. Steek die miljoenen nu eens in jullie OS!!
Wat we nodig hebben is door Google gefaciliteerde updates. Wij gebruikers hebben er niets aan als carriers en fabrikanten de patches nooit uitbrengen. En het is ondoenlijk om een nieuw toestel te kopen voor een security update.

Google heeft gewoon tot nu toe geluk gehad (ook vanwege de robuustheid van Linux) dat een worm geen honderd miljoen toestellen heeft gewist.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True