A través de este programa la compañía de Mountain View pretende ofrecer recompensas económicas y el reconocimiento público de las vulnerabilidades descritas. Como es habitual, el nivel de recompensa se basa en la gravedad de las vulnerabilidades y aumenta si los informes ofrecidos tienen mayor calidad, entre los que se incluyen código para reproducir el fallo, casos de prueba o parches.

Las cantidades de recompensa base son 2.000 dólares para vulnerabilidades críticas, 1.000 dólares para las de gravedad alta, y 500 para las moderadas. Sin embargo, en función de la gravedad del problema, la calidad del informe, exploits, etc. pueden llegar a subir hasta los 38.000 dólares.

En esta ocasión Google ofrece recompensas por las vulnerabilidades de seguridad descubiertas en las últimas versiones de Android disponibles para teléfonos y tabletas Nexus. En la actualidad esto cubre los Nexus 6 y los Nexus 9. No es compatible con otros programas de recompensas de Google

Las vulnerabilidades que pueden optar al programa incluyen fallos en el código AOSP, código OEM (librerías y controladores), el kernel, el TrustZone y módulos. Vulnerabilidades en otro código no Android, como por ejemplo el código que se ejecuta en el firmware del chipset, también pueden optar a recompensas si impactan a la seguridad del sistema.

Evidentemente la comunicación y divulgación del fallo tiene que ser responsable. De forma lógica, consideran como plazo razonable para una divulgación pública de la vulnerabilidad 90 días, el mismo tiempo que da el Project Zero de Google para la divulgación de vulnerabilidades.

Todos los detalles sobre este nuevo programa están disponibles aquí.

Fuente: muyseguridad