O Google anunciou hoje uma expansão no seu programa de recompensa por bugs e falhas de segurança no Android. Com a expansão, a empresa quadruplicou o prêmio para pesquisadores que encontrassem falhas do tipo mais grave possível: o valor passou de US$ 50 mil para US$ 200 mil (R$ 649.666 na cotação atual).

Esse é o prêmio máximo, que a empresa pagará para quem encontrar uma cadeia completa de brechas remotas que levem a um comprometimento de TrustZone ou boot verificado (“complete remote exploit chain leading to TrustZone or Verified Boot compromise”). De acordo com o Google, o prêmio foi aumentado pelo fato de que, até hoje, ninguém nunca enviou um método completo de comprometer a segurança do Android dessa forma e, por isso, o prêmio nunca foi pago.

Além disso, a empresa aumentou em cinco vezes o prêmio pago para brechas remotas de kernel (“remote kernel exploits”). O prêmio pago por falhas desse tipo saltou de US$ 30 mil para US$ 150 mil. Outras falhas também tiveram suas recompensas modificadas; para conferir as regras completas do programa de pagamento por falhas, confira a página oficial do programa.

Os caçadores de bugs

Mesmo que o prêmio máximo nunca tenha sido obtido, pesquisadores de segurança já receberam uma boa grana do Google. Ao longo do último ano, o programa pagou em média US$ 2.150 por falha encontrada, e em média US$ 10.219 por pesquisador envolvido.

Fora esses pagamentos, o programa também recompensou a equipe de pesquisa C0RE TEAM um total de mais de US$ 300 mil por 118 falhas encontradas por eles. Outros 31 pesquisadores de segurança receberam prêmios de US$ 10 mil ou mais.