Google lanceert bug hunting programma voor Android

Google lanceert een bug hunting programma voor het mobiele besturingssysteem Android, het Android Security Rewards Program. Onderzoekers die softwarefouten opsporen in Android kunnen hiervoor een financiële beloning krijgen.

Het nieuwe programma heeft uitsluitend betrekking op kwetsbaarheden die aangetroffen worden in de laatste Android-versie, die draait op de Nexus 6 smartphone en Nexus 9 tablet van Google. Op termijn worden andere apparaten aan deze lijst toegevoegd.

Welke bugs komen in aanmerking?

Wie in aanmerking wil komen voor een financiële vergoeding moet een softwarefout opsporen die in de Android-versie op één of beide apparaten aanwezig is. De bugs mogen niet vallen onder andere beloningsprogramma van Google. Onder andere bugs in de AOSP code, OEM code (libraries en drivers), de kernel en zowel het TrustZone OS als bijbehorende modules komen in aanmerking voor ene beloning.

Kwetsbaarheden in niet-Android code, waaronder de code die draait in de firmware van de chipset in Android-apparaten, komen eveneens in aanmerking indien deze impact hebben op de veiligheid van het Android besturingssysteem.

2.000 tot 30.000 dollar

De beloningen die onderzoekers via het nieuwe beloningsprogramma van Google kunnen binnenslepen variëren van 2.000 dollar voor eenvoudige kwetsbaarheden tot 30.000 dollar voor fouten in de kernel TrustZone OS en bijbehorende componenten of het Verified Boot proces van Android. Google vraagt onderzoekers het bedrijf na het aanmelden van een softwarefout 90 dagen de tijd te krijgen om de fout te herstellen. Na deze 90 dagen mag de kwetsbaarheid openbaar worden gemaakt. Google benadrukt dat onderzoekers die fouten eerder naar buiten te brengen niet op een beloning hoeven te rekenen.