Год назад Android был добавлен в программу Google Vulnerability Rewards Program, которая платит исследователям за предоставление информации об уязвимостях безопасности, влияющих на различные продукты и услуги. С тех пор Google выплатила более 550 000 долларов в виде вознаграждений и планирует увеличить эту сумму в дальнейшем.
В общей сложности было подано более 250 квалифицированных отчетов об уязвимостях от 82 человек. В среднем вознаграждение составило 2 200 долларов за отчет и 6 700 долларов за исследователя. Лучший исследователь заработал 75 750 долларов за 26 сообщений об уязвимостях, а 15 исследователей получили 10 000 долларов и более. Полный список можно найти на странице благодарностей Android Security.
Выплат за высшее вознаграждение за полную цепочку удаленного эксплойта, ведущего к компрометации TrustZone или Verified Boot, не было. Более трети представленных отчетов касались Media Server, ответственного за воспроизведение, и привели к уязвимости Stagefright. С тех пор Google предприняла ряд шагов по укреплению безопасности системы в Android N.
Программа ориентирована на устройства Nexus, но более четверти проблем были сообщены в коде, разработанном и используемом вне Android Open Source Project. Это включает ошибки ядра и драйверов устройств от сторонних поставщиков.
Начиная с 1 июня, Google начнет платить исследователям больше за представленные уязвимости. Высококачественные отчеты об уязвимостях с доказательствами концепции принесут на 33% больше, а отчеты с доказательствами концепции, тестом CTS или патчем получат дополнительные 50%. Вознаграждения за удаленный или приближенный эксплойт ядра увеличатся с 20 000 до 30 000 долларов. Наконец, высшие вознаграждения за эксплуатацию TrustZone и Verified Boot увеличатся с 30 000 до 50 000 долларов.