Programul Google Bounty pentru Android, cunoscut sub numele de Android Security Rewards, a acordat peste 4 milioane de dolari în cei patru ani de la lansare, cuprinzând peste 1.800 de rapoarte individuale. Compania vrea acum construiți pe acel succes prin extinderea programului și adăugarea de recompense cu randament mai mare pentru a atrage mai mulți cercetători să cerceteze arhitectura de securitate existentă a companiei.
Cea mai importantă recompensă în cadrul programului se referă acum la cipul de securitate integrat al companiei pentru linia sa de telefoane Pixel - Titan M - despre care spune că a acordat Pixel 3 privilegiul de a avea un rating puternic pentru securitatea încorporată printre recolta actuală de dispozitive emblematice. Orice cercetători care pot demonstra „o execuție completă de cod la distanță cu lanț complet exploatează cu persistență care compromite elementul securizat Titan M pe dispozitivele Pixel "va fi eligibil pentru un milion de dolari zi de plată.
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
Acest număr - alături de alte recompense posibile - poate fi mărit în continuare cu 50% dacă exploatarea poate fi replicată pe versiuni specifice de previzualizare pentru dezvoltatori ale sistemului de operare. Una peste alta, asta înseamnă că cea mai mare recompensă posibilă pentru program este acum de 1.5 milioane de dolari. Având în vedere că aceasta este probabil o țintă destul de nișă - și poate fi deosebit de dificil de atins, având în vedere încrederea Google în cipul Titan M - compania oferă, de asemenea, o varietate de noi recompense pentru alte tipuri de vulnerabilități legate de exfiltrarea datelor și ecranul de blocare ocolire. Acestea pot ajunge până la 500.000 de dolari pe raport, pe baza naturii exploatării. Specificul acestora poate fi găsit aici.
Modificările aduse programului, care a plătit 1,5 milioane de dolari combinate pentru mai mult de 100 de cercetători diferiți în ultimul an, vor fi lansate pe 21 noiembrie 2019. Orice recompense raportate după această dată se vor baza pe noile reguli. Din păcate, însă, dacă ați descoperit și ați raportat un exploat înainte de această dată, veți fi plătit pe baza scalei anterioare.