Bajo el Mobile Vulnerability Rewards Program, o Mobile VRP, Google recompensará a los investigadores de seguridad por detectar fallos en las aplicaciones móviles de la compañía.
Mobile VRP se ejecutará en paralelo a los programas de recompensas establecidos para los dispositivos Google y Android de la compañía que buscan identificar fallos en Android OS, los terminales Pixel, así como los dispositivos Fitbit y Google Nest.
Las aplicaciones incluidas en Mobile VRP son aplicaciones propiedad de Google, preinstaladas en los dispositivos Android. Dependiendo de la naturaleza de la vulnerabilidad y las operaciones involucradas, se establecen cuatro tipos de vulnerabilidades y de recompensas, siendo la mayor una vulnerabilidad de Día Cero que permita la ejecución remota de código arbitrario sin interacción del usuario, y que está dotada con hasta 30.000 dólares. La recompensa más baja es de 2.250 dólares, y las intermedias varían entre los 25.000 y 20.000 dólares.
Mobile VRP distingue tres niveles de aplicación a partir de los cuales se asignan los niveles de recompensa y determinan la decisión de pago final junto con el tipo de vulnerabilidad y el escenario de explotación.
En el primer nivel Google ha limitado la actuación a la siguiente lista de aplicaciones: Google Play Services, AGSA, Google Chrome, Google Cloud, Gmail y Chrome Remote Desktop.
En el segundo nivel entrarían la mayoría de las aplicaciones que interactúan de alguna manera con una aplicación de nivel 1, los datos del usuario o los servicios de Google pertenecen a la categoría de nivel 2. Finalmente, en el último nivel entrarían la mayoría de las aplicaciones que no gestionan datos de usuarios ni interactúan con los servicios de Google.
