برنامه «پاداش امنیتی گوگل» یا ( Android Security Rewards) سال 2015 توسط گوگل راه اندازی شد تا محققانی که موفق به پیدا کردن حفره امنیتی در سیستم عامل اندروید تلفن های هوشمند پیکسل و تبلت ها میشوند، باگ ها را به کمپانی گوگل تحویل دهند. مقوله امنیت امروزه برای بسیاری از کمپانی های فعال در حوزه فناوری، از اهمیت ویژه ای برخوردار است و این کمپانی ها سعی دارند تا ضعف های امنیتی خود را در سریعترین زمان ممکن برطرف کنند. گوگل هم تا کنون با راه اندازی برنامه های مختلف موفق شده تا مشکلات امنیتی برخی از محصولات خود را برطرف کند. معمولا برای این برنامه ها پاداش نقدی در نظر گرفته می شود تا توسعه دهندگان با موفقیت حفره های امنیتی را شناسایی کنند. البته مبلغ پاداش ها به تناسب اهمیت هر برنامه، متفاوت است.
در ماه ژوئن سال 2017، گوگل اعلام کرد که:
هر نسخه جدید از سیستم عامل اندروید که منتشر میشود، از امنیت بالایی برخوردار است و هیچ محققی قادر نیست به حد بالای کشف حفره های امنیتی در این سیستم عامل دست پیدا کند.
اما بر خلاف ادعای گوگل، این کمپانی جمعه گذشته مبلغ 112,500 دلار به یک محقق چینی به عنوان پاداش برای کشف حفره امنیتی سیستم عامل اندروید در آگوست 2017 ، پرداخت کرد. این محقق چینی به نام «گوانگ گونگ» کارمند یک شرکت امنیتی به نام «Qihoo 360 Technology» است و توانسته دو حفره امنیتی CVE-2017-5116 و CVE-2017-14904 را در اندروید پیدا کند. حفره امنیتی CVE-2017-5116 اجازه دسترسی از راه دور از طریق یک کد HTML را به سندباکس کروم میدهد. حرفه امنیتی CVE-2017-14904 فضای اضافی زیادی را در سندباکس کروم ایجاد می کند.
در صورتی ترکیب این دو حفره امنیتی، می توان از راه دور یک تزریق injection به پردازنده system_server Pixel انجام داد. در شرایط بدتر حتی یک هکر میتواند تنها با دسترسی داشتن به یک آدرس URL و با استفاده از گوگل کروم، به سیستم کاربر حمله کند.
همانطور که گفته شد، آقای گونگ 105 هزار دلار از برنامه «پاداش امنیتی گوگل» دریافت کرده که بالاترین پاداشی است که این کمپانی به محققانی که حفره امنیتی کشف کرده اند پرداخت کرده. همچنین 7500 دلار اضافی از «برنامه پاداش کروم» که در سال 2010 به منظور کشف آسیب پذیری های امنیتی کروم آغاز شده، دریافت کرد.
