Google инициировал программу Android Security Rewards, охватывающую уязвимости, обнаруженные в последних доступных версиях Android для телефонов и планшетов Nexus, которые в настоящее время доступны для продажи в Google Store в США.
Поиск ошибок может быть прибыльной работой. У Google уже есть программа вознаграждения за уязвимости, охватывающая его веб-ресурсы, схему для ошибок в Chrome и схему вознаграждения за исправления, охватывающую проекты с открытым исходным кодом, включая Android. Новая программа ориентирована на новые устройства Android и в настоящее время ограничена Nexus 6 и Nexus 9.
Помимо географических ограничений США, еще одно ограничение заключается в том, что новая программа предназначена только для ошибок в коде, которые не покрываются этими другими программами вознаграждения Google. Чтобы уточнить, о чем идет речь, в объявлении говорится:
К числу подходящих ошибок относятся ошибки в коде AOSP, OEM-коде (библиотеки и драйверы), ядре, а также в ОС и модулях TrustZone. Уязвимости в другом коде, отличном от Android, например в коде, который работает во встроенном ПО набора микросхем, могут иметь место, если они влияют на безопасность ОС Android.
Как и в случае других схем поощрения ошибок, размер вознаграждения зависит от серьезности уязвимости и качества отчета. Отчет об ошибке, включающий воспроизводящий код, получит больше, чем простой отчет, указывающий на уязвимый код. Хорошо написанный тест CTS и патч приведут к еще более высокой награде, как указано в этой таблице:
Google также предлагает дополнительные вознаграждения за функциональные уязвимости:
Эксплойт или цепочка эксплойтов, ведущая к компрометации ядра из установленного приложения или с физическим доступом к устройству, получит дополнительные 10 000 долларов. Прохождение удаленного или ближайшего вектора атаки может принести дополнительно до 20 000 долларов.
Эксплойт или цепочка эксплойтов, ведущая к компрометации TEE (TrustZone) или проверенной загрузки из установленного приложения или с физическим доступом к устройству, получит дополнительные 20 000 долларов США. Прохождение удаленного или ближайшего вектора атаки может принести дополнительно до 30 000 долларов.
Выплачиваемая сумма остается на усмотрение панели вознаграждений, что приводит к более высокой или меньшей выплате, чем ожидалось. Google также признает, что некоторые исследователи безопасности не заинтересованы в деньгах, и предоставляет возможность пожертвовать вознаграждение существующей благотворительной организации, и в этом случае пожертвование может быть удвоено по усмотрению Google.
Среди правил, применимых ко всем схемам вознаграждения за уязвимости Google, является то, что вознаграждением будет только первое сообщение об определенной уязвимости, и что ошибки, изначально раскрытые публично или третьей стороне для целей, отличных от исправления ошибки, обычно не будут претендовать на награду.