Google Vulnerability Reward Program

Google već duže vremena ima “Vulnerability Reward Program”, program putem kojeg želi da nagradi i stimuliše korisnike za prijavljivanje bezbednosnih greška u svojim Web servisima, aplikacijama, ekstenzijama, Chrome i Chrome OS.
Kompanija Google juče je objavila da proširuje ovaj svoj program nagrađivanja bezbednosnih grešaka i na mobilni operativni sistem Android.

Google naglašava da program ne pokriva sve Android uređaje već samo nove uređaje za koje je Google potpuno odgovoran. Za sada, to znači Nexus 6 i Nexus 9.

Ono što treba naglasiti jeste da će vam Google platiti za otkrivanje bezbednosne greške ali i ponuditi dodatne nagrade za test slučajeva podnetih sa otkrivenom bezbednosnom greškom, CTS test i AOSP zakrpa koja popravlja grešku.

CTS je skraćenica za “Compatibility Test Suite”, Androidov test kompatibilnosti koji se stalno ažurira i kojeg moraju proći svi uređaji kako bi dobili pristup Google Play Store. CTS testovi obezbeđuju da su uređaj i njegov softver Android kompatibilni i bez poznatih ranjivosti, obezbeđuju ispravnost API platforme te prate obaveznu Google praksu korisničkog interfejsa za što bilju čitljivost i doslednost.

google nagrade

Google će vam platiti do 2.000 dolara za otkrivanje bezbednosne grešeke. Iznos zavisi od težine greške, a ako uz grešku podnesete i CTS test i AOSP zakrpu, možete zaraditi do 8.000 dolara. Detaljne informacije o ovom programu nagrađivanja možete pronaći na Android Security Rewards stranici.

Za sve one koji vide ovaj Google program kao dobar način da se zaradi nešto novca, treba reći da pored ove vrste nagrađivanja postoje i ogromni bonusi u slučaju da otkrijete greške u kernelu, TEE (TrustZone), ili Verified Boot procesu. Za najgori mogući scenarijo za daljinsko kompromitovanje TrustZone ili Verified Boot procesa, kompanija Google nudi nagradu u visini od 30.000 dolara.

Kompanija Google navodi da je samo u prošloj godinini isplatila više od 1,5 miliona dolara za otkrivene bezbednosne greške.