Il programma Android Security Rewards, sottolinea Google, riguarda le vulnerabilità scoperte nelle ultime versioni Android disponibili per i device Nexus in vendita negli USA (attualmente Nexus 6 e 9).
I bug coinvolti nell’iniziativa sono quelli presenti nel codice AOSP, nel codice OEM, nel kernel e in TrustZone. Altre vulnerabilità riscontrate in codice non-Android, come ad esempio il firmware del chipset, saranno legittimate solo se dovessero effettivamente avere un impatto sul sistema operativo Android.
I bug vengono classificati a seconda della criticità (Low/Moderate/High/Critical, qui ulteriori informazioni sui criteri di classificazione) e la ricompensa assegnata a chi li trova e segnala a Google aumenta all’aumentare della gravità della vulnerabilità.
Se viene inoltre fornito un test-case, un test CTS e/o una patch che risolva la vulnerabilità, la ricompensa base aumenta ancora fino a un massimo di 8000 Dollari per un bug a elevata criticità, segnalato con tanto di test CTS e fix. Che la caccia abbia inizio!