Comme il l’a déjà fait avec Chrome et d’autres produits de la société, Google récompensera les chercheurs en sécurité qui trouveront des bogues dans Android. L’initiative, appelée Android Security Rewards, a été annoncée mardi (16) et pourrait rapporter jusqu’à 38 000 euros à toute personne localisant et signalant des bogues de sécurité sur la plateforme mobile de Google.
Les vulnérabilités seront éligibles pour des récompenses si elles sont trouvées dans la dernière version d’Android, et seulement dans les smartphones et les tablettes Nexus actuellement vendus dans Play Store, Nexus 6 et Nexus 9. Il est utile de signaler les défaillances du noyau, le code AOSP, les pilotes et même le code n’appartenant pas à Android, s’ils ont un impact sur la sécurité globale du système.
Le simple fait de signaler une infraction peut rapporter 2 000 euros si le problème était critique. Si le rapport est accompagné d’un test CTS (Compatibility Test Suite) et d’un correctif, la récompense s’élève à 8 000 euros. Et, si le problème est lié à TrustZone ou Verified Boot, il y a un supplément de 30 000 €.
Google peut payer plus de 38 000 euros s’il pense qu’un bug est extrêmement grave ou atypique, ou s’il considère qu’un seul rapport contient plusieurs bugs différents. Si le chercheur ne veut pas recevoir sa récompense dans les 12 mois, Google s’engage à verser le double de la somme à une œuvre de bienfaisance.