Безопасность стала ключевым аспектом развития мобильных операционных систем в 2015 году, и это не просто слова. Google последовала примеру других компаний и решила переложить поиск уязвимостей в операционной системе Android на плечи самих пользователей. Компания объявила о расширении программы Security Rewards, в рамках которой за обнаружение ошибки или уязвимости в Android корпорация заплатит пользователю от $500 до $2 000, тогда как предоставление результатов тестирования ошибки и разработка исправления увеличит сумму вознаграждения до $10 000. А если вам удастся найти в Android критическую брешь, которая позволяет проводить атаки через любые сторонние приложения, установленные на мобильный девайс, Google выплатит от $20 000 до $30 000.
Следует уточнить, что к рассмотрению будут принимать только те уязвимости, что поражают прошивки AOSP, OEM и ядро Android на Nexus 9 и Nexus 6. Google также делает исключение для уязвимостей, которые действуют через программный код для чипсетов. Важно иметь в виду, что при получении доклада об одной и той же уязвимости от нескольких пользователей, рассматриваться будет только первая полученная заявка. Уязвимости, которые были раскрыты публично или сторонним разработчикам в целях, не имеющих ничего общего с устранением ошибки, не смогут претендовать на получение вознаграждения.
Случаи, которые не могут расцениваться, как уязвимости:
- атаки, требующие сложного взаимодействия с пользователем. Например, если уязвимость требует установки приложения, а затем ждёт от пользователя, чтобы тот выставил определенную конфигурацию;
- фишинговые атаки;
- атаки, которые подразумевают нажатие пользователем на элементы интерфейса;
- ошибки, которые можно реализовать только в режиме отладки;
- ошибки, которые вызывают остановку работы приложения.
Google приглашает к сотрудничеству как профессионалов, так и начинающих специалистов в области безопасности. Подробности об участии можно узнать в официальном FAQ на сайте Google.
