С момента запуска в 2010 году глобальной программы по поиску уязвимостей Google выплатила исследователям миллионы долларов. Теперь компания расширила программу Android Security Rewards, потому что за последние два года ни один человек не претендовал на получение высшей денежной награды за обнаружение серьёзной проблемы в мобильной операционной системе.
Отныне вознаграждение за обнаружение цепочки удалённых эксплойтов или эксплойтов, обеспечивающих доступ к TrustZone или Verified Boot, достигает $200 тысяч вместо прежних $50 тысяч. Тем, кто обнаружит баг удалённого исполнения кода ядра, теперь платят не $30 тысяч, а $150 тысяч.
Android Security Rewards была запущена два года назад, и Google выплатила в рамках программы более 1,5 миллионов долларов США. За второй год компания получила более 450 отчётов о реальных уязвимостях. Средняя сумма выплат выросла на 52,3 %.
Можно ожидать дальнейшего роста денежных наград, особенно если кто-то будет претендовать на одну из двух максимальных выплат. Судя по всему, Google надеется побудить исследователей уделять больше времени попыткам взломать операционную систему. В прошлом месяце компания сообщила, что число активных устройств на базе Android достигло двух миллиардов.
Программа поиска багов — отличное дополнение ко внутреннему тестированию операционной системы. Она мотивирует хакеров и экспертов в сфере IT-безопасности находить уязвимости и сообщать о них разработчикам, вместо того чтобы злонамеренно их использовать или продавать сторонним лицам.
Источник: 3DNews
