Hace un año atrás Google lanzaba el programa de recompensas (Android Security Rewards) por descubrimiento de vulnerabilidades en el sistema operativo Android y hoy Google anunció que en este primer año del programa, ya han pagado más de 550 mil dólares.
82 fueron los investigadores que recibieron recompensas de 250, ya que no todos los reportes son aprobados. El promedio de pago por reporte aprobado fue de aproximadamente 2.200 dólares, algo así como un promedio de 6.700 dólares por investigador.
El investigador que recibió más dinero fue @heisecode, que con 26 vulnerabilidades descubiertas recibió un total de 75.750 dólares. De los 82 investigadores 15 se recibieron 10.0000 o más dólares.
Ahora Google acaba de anunciar que a partir de este mes de Junio ofrecerá más dinero en recompensas:
- 33% más por reportes de vulnerabilidades de alta calidad que incluya prueba de concepto. Hasta ahora Google pagaba 3.000 dólares, lo que significa que de ahora en más pagará 4.000 dólares.
- Resportes de vulnerabilidades de alta calidad que incluya prueba de concepto, un test CTS o el parche recibirá 4.000 dólares mas un monto adicional del 50%.
- La recompensa por reportar un exploit remoto o próximo del kernel, pasa del los 20.000 dólares a los 30.000 dólares.
- La recompensa por reportar una cadena remota de exploits o exploits que comprometan la TrustZone o Arranque Verificado, ahora pasa de los 30.000 dólares a los 50.000 dólares.