Android Security Rewards
Onderzoekers die lekken vinden in Android, kunnen heel veel geld verdienen op de zwarte markt. Veel van deze onderzoekers zijn echter niet uit op illegale toepassingen en wanneer een partij als Google een (veel lagere) financiële vergoeding biedt, kan dit hackers over de streep trekken om de gaten te melden. Google heeft meerdere programma’s die ‘white hat hackers’, onderzoekers die geen kwaad in de zin hebben, een beloning bieden voor het doorgeven van beveiligingsproblemen.
De beloning voor de ernstigste beveiliginglekken wordt nu flink verhoogd. Dit kan onderzoekers ook aansporen dit soort lekken meteen te melden: het gebeurt dat lekken worden ‘opgespaard’ tot hack-wedstrijden, waarmee vaak tonnen te verdienen zijn. De lekken waar het om gaat, bieden de mogelijkheid om Android-toestellen op afstand te hacken.
Wanneer er een lek gevonden wordt dat op afstand de TrustZone of Verified Boot kan omzeilen, krijgen onderzoekers voortaan 200.000 dollar (177.600 euro), een verviervoudiging van de eerdere beloning. De TrustZone biedt een plek in de chipset waarin belangrijke beveiligingssleutels veilig worden opgeslagen. Verified Boot zorgt er voor dat er geen veranderingen aan het systeem kunnen worden aangebracht zonder dat de gebruiker daarvan op de hoogte is. Een tweede beloning, namelijk die voor een lek in de Linux-kernel van Android-toestellen dat op afstand kan worden misbruikt, wordt vervijfvoudigd naar 150.000 dollar (133.200 euro).
Google meldt de beloningen te verhogen, omdat er de afgelopen twee jaar geen meldingen binnen zijn gekomen van dergelijke beveiligingsgaten. Dit zou er op kunnen duiden dat de beloning te laag is. Google heeft wel meer dan 1,5 miljoen dollar (1, 33 miljoen euro) uitgekeerd aan onderzoekers die andere beveiligingsproblemen op Android gemeld hebben.
Beveiligingsupdates
Google geeft aan de beveiliging van Android-toestellen beter wordt met elke nieuwe versie, maar dat de maandelijkse beveiligingsupdates ook belangrijke verbeteringen brengen. Volgens Google zijn er meer dan 100 modellen die op een beveiligingsupdate draaien van de laatste 90 dagen. Daarnaast draaien er rond de 40 toestellen op een beveiligingsniveau van maximaal twee maanden oud.
De verwachting is dat het maken van toekomstige updates eenvoudiger wordt voor fabrikanten met de komst van Android O. (In ieder geval) nieuwe toestellen die worden uitgebracht met Android O zijn opgesplitst in twee delen: een apparaat-specifiek gedeelte met drives voor het toestel en een algemeen gedeelte. Bij nieuwe updates is het niet nodig om het algemene gedeelte te updaten, iets wat fabrikanten tijd (en dus geld) kan schelen.
Bron: Android Developers
Reacties
Inloggen of registreren
om een reactie achter te laten