Google увеличивает сумму, которую выплачивает в качестве вознаграждения за обнаружение ошибок и уязвимостей в Android, с новым верхним пределом в 50 000 долларов.
Android Security Rewards были введены год назад, присоединившись к программе Google Vulnerability Rewards. Первоначальное предложение составляло до 38 000 долларов за отчет, который Google мог использовать для устранения уязвимостей и защиты пользователей Android.
Согласно сообщению в блоге разработчиков Android, в течение года Google получил 250 соответствующих отчетов об уязвимостях. Более трети проблем было зарегистрировано в Media Server, и теперь это усилено в Android N, чтобы сделать его более устойчивым к уязвимостям.
В сообщении блога говорится, что, хотя программа в основном нацелена на устройства Nexus и предназначена для повышения безопасности Android, значительная группа — более четверти — проблем была обнаружена в коде, разработанном и использовавшемся вне Android Open Source Project, например драйвер устройства и ошибки ядра.
Среднее вознаграждение, выплачиваемое в течение года, составляло 2200 долларов за вознаграждение. 82 человека получили награды, каждый из которых получил в среднем 6700 долларов.
Наибольшая сумма, выплаченная одному человеку, составила 75 750 долларов за 26 отчетов об уязвимостях, а 15 исследователям было выплачено 10 000 долларов и более. Не было никаких выплат за высшее вознаграждение за полную цепочку удаленных эксплойтов, ведущую к компрометации TrustZone или Verified Boot.
Изменения в программе означают, что высококачественные отчеты об уязвимостях с подтверждением концепции будут получать на 33% больше, так что вознаграждение за отчет о критических уязвимостях с подтверждением концепции увеличилось с 3000 до 4000 долларов.
Отчет об уязвимостях высокого качества с подтверждением концепции, тестом CTS или патчем получит дополнительные 50%. Вознаграждение за удаленный или проксимальный эксплойт ядра увеличилось с 20 000 до 30 000 долларов, а вознаграждение за цепочку удаленных эксплойтов или эксплойтов, ведущих к компрометации TrustZone или проверенной загрузки, увеличилось с 30 000 до 50 000 долларов.