Безопасность стала ключевым аспектом развития мобильных операционных систем в 2015 году, и это не просто слова. Google последовала примеру других компаний и решила переложить поиск уязвимостей в операционной системе Android на плечи самих пользователей. Компания объявила о расширении программы Security Rewards, в рамках которой за обнаружение ошибки или уязвимости в Android корпорация заплатит пользователю от $500 до $2 000, тогда как предоставление результатов тестирования ошибки и разработка исправления увеличит сумму вознаграждения до $10 000. А если вам удастся найти в Android критическую брешь, которая позволяет проводить атаки через любые сторонние приложения, установленные на мобильный девайс, Google выплатит от $20 000 до $30 000.

Следует уточнить, что к рассмотрению будут принимать только те уязвимости, что поражают прошивки AOSP, OEM и ядро Android на Nexus 9 и Nexus 6. Google также делает исключение для уязвимостей, которые действуют через программный код для чипсетов. Важно иметь в виду, что при получении доклада об одной и той же уязвимости от нескольких пользователей, рассматриваться будет только первая полученная заявка. Уязвимости, которые были раскрыты публично или сторонним разработчикам в целях, не имеющих ничего общего с устранением ошибки, не смогут претендовать на получение вознаграждения.

Случаи, которые не могут расцениваться, как уязвимости:

• атаки, требующие сложного взаимодействия с пользователем. Например, если уязвимость требует установки приложения, а затем ждёт от пользователя, чтобы тот выставил определенную конфигурацию;
• фишинговые атаки;
• атаки, которые подразумевают нажатие пользователем на элементы интерфейса;
• ошибки, которые можно реализовать только в режиме отладки;
• ошибки, которые вызывают остановку работы приложения.

Google приглашает к сотрудничеству как профессионалов, так и начинающих специалистов в области безопасности. Подробности об участии можно узнать в официальном FAQ на сайте Google.