Várias empresas oferecem prêmios em dinheiro para pesquisadores de segurança que encontrem falhas em seus produtos. A ideia começou em 1995 com a Netscape, e ganhou força na última década. O Google tem um programa enorme há cinco anos para recompensar quem acha vulnerabilidades em seus sites e apps – mas só agora expandiu isso para o Android.
A partir de hoje, o Android Security Rewards pagará por cada passo necessário para consertar um bug de segurança. Os valores-base variam entre US$ 333 e US$ 8.000, com adicionais de complexidade que chegam a US$ 30.000.
A recompensa depende da severidade da falha – quanto mais grave, mais o Google paga – e se você consegue consertá-la. Se você não estiver interessado no dinheiro, o Google faz uma doação do valor em dobro para uma instituição de caridade.
A ideia é tornar a base do Android mais segura: o programa quer que especialistas cacem “falhas no código AOSP, no código de fabricantes (bibliotecas e drivers), e no sistema e módulos TrustZone OS”.
Há algumas limitações: o Google só pagará se você encontrar bugs na versão mais recente do Android em smartphones ou tablets Nexus vendidos nos EUA – no caso, Nexus 6 e Nexus 9. Não estão inclusos no programa outros dispositivos do Google, como o Nexus Player ou relógios com Android Wear.
Ou seja, se você achou alguma falha no Android KitKat e anteriores, ou em uma skin da Samsung/LG/etc., ou em ROMs customizadas, você não será recompensado.
Desde 2010, o Google também oferece até US$ 20.000 para quem encontrar falhas nos domínios google.com, youtube.com e blogger.com, além de apps e extensões desenvolvidos pela empresa.
Cada vez mais empresas dão recompensas para quem encontra bugs. A Microsoft faz isso, assim como Facebook, Twitter, Mozilla, PayPal, entre outras – a lista está aqui. [Android Security Rewards]
Foto por Lucas Zallio/Flickr