Google платит до 40.000 долларов за баги, найденные в Android

 Перечень устройств, на которые она распространяется, будет в дальнейшем увеличиваться. Код, который используется в фирменном программном обеспечении для чипсетов, но при этом не является кодом Android, всё равно подпадает под программу, если он оказывает влияние на безопасность операционной системы.

Google платит до 40.000 долларов за баги, найденные в Android

Следующая таблица показывает, как будет измеряться награда, выплачиваемая исследователям:

Базовое вознаграждение – это минимальная награда, которая зависит от «тяжести» найденного бага.

Google обещает выплатить 1.5 базовых вознаграждения, если баг-репорт будет включать в себя отдельный тестовый кейс (уязвимый файл).

Награда будет удвоена за предоставление патча, который устраняет найденную уязвимость или за CTS (Compatibility Test Suite)-тест, который позволяет её обнаружить.

За отчёт, который включает в себя и CTS-тест и патч, награда будет выплачиваться в четырёхкратном размере.

Google платит до 40.000 долларов за баги, найденные в Android
Верхний предел выплаты по этой программе может достигать 40.000 долларов – в данном случае это будет вознаграждение за найденный критический баг, состоящий из цепочки атак, компрометирующих Android TrustZone или Verified Boot из установленного приложения.

Решение расширить программу вознаграждения с Chrome на всю платформу Android было неизбежным, говорит глава Android Security Адриан Людвиг. «Мы видим, как мобильные устройства становятся наиболее распространённым способом выхода в интернет», говорит он. «Наша цель – сделать эту программу хорошей возможностью для заработка киберисследователей и добросовестных хакеров, которые помогают находить потенциальные уязвимости в Android».

ИСТОЧНИК