Jetpack
Kotlin
Docs
News
Platform
Android Studio
Google Play
Jetpack
Kotlin
Docs
News
Platform
Android Studio
Google Play
Jetpack
Kotlin
Docs
News
More
Android Developers Blog
The latest Android and Google Play news for app and game developers.
One Year of Android Security Rewards
16 juin 2016
Posted by Quan To, Program Manager, Android Security
A year ago
, we added
Android Security Rewards
to the long standing
Google Vulnerability Rewards Program
. We offered up to $38,000 per report that we used to fix vulnerabilities and protect Android users.
Since then, we have received over 250 qualifying vulnerability reports from researchers that have helped make Android and mobile security stronger. More than a third of them were reported in Media Server which has been
hardened in Android N
to make it more resistant to vulnerabilities.
While the program is focused on Nexus devices and has a primary goal of improving Android security, more than a quarter of the issues were reported in code that is developed and used outside of the Android Open Source Project. Fixing these kernel and device driver bugs helps improve security of the broader mobile industry (and even some non-mobile platforms).
By the Numbers
Here’s a quick rundown of the Android VRP’s first year:
We paid over $550,000 to 82 individuals. That’s an average of $2,200 per reward and $6,700 per researcher.
We paid our top researcher,
@heisecode
, $75,750 for 26 vulnerability reports.
We paid 15 researchers $10,000 or more.
There were no payouts for the top reward for a complete remote exploit chain leading to TrustZone or Verified Boot compromise.
Thank you to
those
who submitted high quality
vulnerability reports
to us last year.
Improvements to Android VRP
We’re constantly working to improve the program and today we’re making a few changes to all vulnerability reports filed after June 1, 2016.
We’re paying more!
We will now pay 33% more for a high-quality vulnerability report with proof of concept. For example, the reward for a Critical vulnerability report with a proof of concept increased from $3000 to $4000.
A high quality vulnerability report with a proof of concept, a CTS Test, or a patch will receive an additional 50% more.
We’re raising our rewards for a remote or proximal kernel exploit from $20,000 to $30,000.
A remote exploit chain or exploits leading to TrustZone or Verified Boot compromise increase from $30,000 to $50,000.
All of the changes, as well as the additional terms of the program, are explained in more detail in our
Program Rules
. If you’re interested in helping us find security vulnerabilities, take a look at
Bug Hunter University
and learn how to submit high quality vulnerability reports. Remember, the better the report, the more you’ll get paid. We also recently updated our
severity ratings
, so make sure to check those out, too.
Thank you to everyone who helped us make Android safer. Together, we made a huge investment in security research that has made Android stronger. We’re just getting started and are looking forward to doing even more in the future.
Libellés
Android O
Android Studio
Design
Develop
Google Play
Archive
mai 2021
(3)
avril 2021
(10)
mars 2021
(12)
février 2021
(11)
janvier 2021
(3)
décembre 2020
(7)
novembre 2020
(7)
octobre 2020
(7)
septembre 2020
(9)
août 2020
(18)
juillet 2020
(18)
juin 2020
(18)
mai 2020
(4)
avril 2020
(7)
mars 2020
(9)
février 2020
(9)
janvier 2020
(3)
décembre 2019
(8)
novembre 2019
(12)
octobre 2019
(11)
septembre 2019
(5)
août 2019
(9)
juillet 2019
(8)
juin 2019
(6)
mai 2019
(15)
avril 2019
(10)
mars 2019
(11)
février 2019
(5)
janvier 2019
(6)
décembre 2018
(11)
novembre 2018
(9)
octobre 2018
(13)
septembre 2018
(5)
août 2018
(13)
juillet 2018
(9)
juin 2018
(16)
mai 2018
(16)
avril 2018
(8)
mars 2018
(8)
février 2018
(7)
janvier 2018
(9)
décembre 2017
(9)
novembre 2017
(13)
octobre 2017
(14)
septembre 2017
(11)
août 2017
(19)
juillet 2017
(11)
juin 2017
(13)
mai 2017
(21)
avril 2017
(12)
mars 2017
(14)
février 2017
(11)
janvier 2017
(12)
décembre 2016
(17)
novembre 2016
(16)
octobre 2016
(9)
septembre 2016
(6)
août 2016
(7)
juillet 2016
(12)
juin 2016
(14)
mai 2016
(16)
avril 2016
(14)
mars 2016
(8)
février 2016
(8)
janvier 2016
(9)
décembre 2015
(9)
novembre 2015
(13)
octobre 2015
(19)
septembre 2015
(15)
août 2015
(13)
juillet 2015
(9)
juin 2015
(8)
mai 2015
(10)
avril 2015
(10)
mars 2015
(12)
février 2015
(8)
janvier 2015
(3)
décembre 2014
(9)
novembre 2014
(13)
octobre 2014
(11)
septembre 2014
(6)
août 2014
(2)
juillet 2014
(9)
juin 2014
(10)
mai 2014
(4)
mars 2014
(4)
février 2014
(3)
janvier 2014
(2)
décembre 2013
(3)
novembre 2013
(2)
octobre 2013
(7)
septembre 2013
(2)
août 2013
(5)
juillet 2013
(5)
juin 2013
(4)
mai 2013
(9)
avril 2013
(3)
mars 2013
(2)
février 2013
(3)
janvier 2013
(3)
décembre 2012
(5)
novembre 2012
(3)
octobre 2012
(3)
septembre 2012
(1)
août 2012
(1)
juillet 2012
(2)
juin 2012
(5)
mai 2012
(1)
avril 2012
(5)
mars 2012
(5)
février 2012
(5)
janvier 2012
(5)
décembre 2011
(7)
novembre 2011
(7)
octobre 2011
(5)
septembre 2011
(5)
août 2011
(3)
juillet 2011
(7)
juin 2011
(2)
mai 2011
(5)
avril 2011
(6)
mars 2011
(8)
février 2011
(8)
janvier 2011
(4)
décembre 2010
(8)
novembre 2010
(3)
octobre 2010
(4)
septembre 2010
(7)
août 2010
(6)
juillet 2010
(10)
juin 2010
(11)
mai 2010
(11)
avril 2010
(2)
mars 2010
(3)
février 2010
(2)
janvier 2010
(5)
décembre 2009
(7)
novembre 2009
(5)
octobre 2009
(5)
septembre 2009
(8)
août 2009
(2)
juillet 2009
(1)
juin 2009
(2)
mai 2009
(5)
avril 2009
(12)
mars 2009
(5)
février 2009
(8)
janvier 2009
(3)
décembre 2008
(3)
novembre 2008
(1)
octobre 2008
(4)
septembre 2008
(6)
août 2008
(4)
juin 2008
(1)
mai 2008
(5)
avril 2008
(4)
mars 2008
(5)
février 2008
(2)
janvier 2008
(5)
décembre 2007
(3)
novembre 2007
(5)
Feed
Newsletter
Android Developers
Google Play
Platform
Android Studio
Google Play
Jetpack
Kotlin
Docs
News
