Google desarrolló un programa de recompensas, un “Vulnerability Reward Program”, que está diseñado para encontrar vulnerabilidades o fallos en Android o en alguna de sus apps de mayor importancia y que pueden afectar tanto a los usuarios, así como al propio buscador. La razón es que poder reparar los errores de seguridad hace posible que las apps sean más seguras y, por ende, más usables.
Esta iniciativa no es algo tan nuevo, pues ya existía un programa de características similares en Android y sus aplicaciones Open Source. Pero esta nueva propuesta está dirigida a aquellas apps que tienen un mayor interés para Google.
Hay que aclarar que la cantidad que reciban los programadores dependerá del tipo de problema que se reporte, de lo grave que sea y de la aplicación que afecte. Esto quiere decir que estará vinculada a la clase o el nivel de la aplicación, y de si la solución llega a ser de gran valor para la experiencia en general de esta.
¿Cómo diferencia Google las aplicaciones?
En tres clases:
- Tier 1 o nivel 1, es una categoría reservada para apps como Google Play, Google Cloud, Chrome y Gmail.
- El nivel 2 está compuesto por todas las apps que interactúan con las apps del nivel 1 o con los datos del usuario o los servicios de Google, por ejemplo, Drive o fotos.
- El nivel 3 está conformado por las apps que no interactúan con los servicios de Google o que manejan algún dato de los usuarios.
Lo que paga Google por los fallos en Android
Si un usuario encuentra un fallo que permita que un tercero acceda a la ejecución remota de código en las apps del nivel 1, Google pagará 30.000 dólares.
En cambio, serán 25.000 dólares si hay un problema parecido en las apps del nivel 2. Para terminar, para los fallos encontrados en el nivel 3 serán 20.000 dólares.
Los hallazgos se pueden comunicar a través de Bughunters.google.com, un sitio dedicado a este programa de caza de bugs.