Amikor a mobilos oprendszerek biztonságáról esik szó, az Android neve általában potenciális veszélyforrásként merül fel. Az Google évek óta teljes erővel dolgozik azon, hogy ez a megítélés, illetve a rendszer megbízhatósága javuljon, ennek jegyében indította útjára az Android Security Rewards programot, ami ezzel csatlakozott a már régóta futó Vulnerability Rewards Programhoz.

Aki talál, keres

A kezdeményezés lényege végtelenül egyszerű: amennyiben valaki biztonsági rést talál az Androidban, akkor annak felderítését a Google pénzzel jutalmazza. A vállalat nem szűkmarkú, így egy konkrét hiba bemutatásáért akár 38 ezer dollárt is fizethet annak, aki ezt prezentálja, illetve megfelelő módon dokumentálja. A program androidos része egy éve fut, a Google pedig közzétette, hogy ez idő alatt összesen 550 ezer dollárt, azaz több mint 150 millió forintot fizetett ki a biztonsági szakembereknek.

Az elmúlt egy év alatt összesen 82 embertől érkezett biztonsági riport, amelyek keretében 250 sérülékenységre derült fény. Az első szám jól mutatja, hogy mennyire szűk szakmai réteg képes jelentős hibákat felkutatni a rendszerben. A legnagyobb összeget (75 750 dollárt) egy „Peter Pi” nevű kutató zsebelte be, aki összesen 26 jelentős biztonsági résre hívta fel a Google figyelmét. Találatonként átlagosan 2200 dollárt fizettek ki, míg a jelentéseket beküldők fejenként átlagban 6700 dollárral gazdagodtak.

A statisztikákból az derül ki, hogy fejenként, illetve esetenként nagy összegekről nem volt szó, így mindössze 15 olyan beadvány akadt, amikor 10 ezer dollárnál többet kellett kifizetni. Az pedig kifejezetten megnyugtató, hogy a maximális díjat érdemlő, a TrustZone, illetve Verified Boot területét érintő sérülékenységgel kapcsolatos riport az elmúlt egy évben nem érkezett.

Az alapos munka sokat ér

A maximális összeg elérése egyébként nem egyszerű, hiszen a Google több szempontot is figyelembe vesz a hibák bejelentésekor. A vállalat egyedileg bírálja el, hogy a bug leírása mennyire alapos, jól dokumentált, és a szerint is súlyozza a kifizetést, hogy az mennyire kritikus sebezhetőséget mutat be. Ha a benyújtott riport a hibás kódot, annak reprodukálását, sőt már javító csomagot is tartalmazza, akkor az ezekért járó szorzókkal már elérhető a maximális összeg.

Az Android Security Rewards alapvetően a Nexus készülékek jobbá tételéről szól, de a Google azon van, hogy a felfedezett és javított hibákat az összes androidos mobilon javítsák. A program tehát sikeres, aminek következtében a Google átlagosan 33 százalékkal növeli a díjazás mértékét, a maximálisan kiosztható jutalom pedig immáron 50 ezer dollárra emelkedett.