En total, unos 250 informes relacionados con vulnerabilidades fueron presentados por 82 personas, dando como resultado 2.200 dólares por recompensa y 6.700 dólares por investigador. El investigador que más ha ganado consiguió 75.000 dólares por 26 notificaciones de vulnerabilidades y 15 investigadores han recibido 10.000 dólares o más.

No hubo pagos por la recompensa máxima para la cadena completa de explotación en remoto de TrustZone o por comprometer Verified Boot. Más de un tercio de los informes enviados estaban relacionados con Media Server, el reproductor multimedia que ha estado relacionado con Stagefright. Gracias a los informes relacionados con estos problemas, Google ha podido reforzar la seguridad de Android N.

A pesar de estar centrado en los dispositivos Nexus, también se ha reportado una cantidad significativa de problemas de fuera del Android Open Source Program relacionados con el kernel (recordamos que es Linux) y los drivers de terceros.

Desde el 1 de junio Google ha empezado a pagar más a los investigadores que informen sobre vulnerabilidades y otros problemas. Un informe de alta calidad con prueba de concepto será pagado con una cuantía un 33% superior, mientras que aquellos que contengan una prueba concepto, prueba CTS o un parche recibirán un 50% más. Las recompensas por exploits en el kernel subirán de 20.000 dólares a 30.000. Por último, las recompensas máximas por TrustZone y Verified Boot han subido de 30.000 dólares a 50.000.

Fuente: 9to5Google | muyseguridad