2015 年 6 月 16 日,为 Android 操作系统营造更安全的使用环境 Google 宣布启动名为 Android 安全奖励(Android Security Rewards)的新项目,根据提交漏洞报告的类型和危险等级获得相应的现金奖励。项目上线运行 1 年,由于无人破解 Android 的 TrustZone 或者 Verified Boot 的远程漏洞,Google 宣布将会提升奖金上限。http://static.cnbetacdn.com/article/2016/0617/28272ad4f1ff167.png

Google 表示在过去一年共计接受并执行了超过 250 例安全漏洞奖励,但是令 Google 稍感遗憾的是超过四分之一都是第三方 OEM 厂商的代码,例如内核和设备驱动 BUG 等等。公司表示已经向 82 名安全专家支付了超过 55 万美元的奖金,这意味着平均每个 BUG 费用为 2200 美元,每名安全专家的奖金为 6700 美元。

其中部分安全专家要比其他人更富激情,Google 表示最出名的 BUG 猎人是@heisecode,他向 Google 提交了 26 项不同的 BUG,共计获得 75750 美元。Google 并未透露完整的清单,只是表明有 15 位安全专家获得了超过 1 万美元的奖金。

Google 表示将会向发现 TrustZone 或者 Verified Boot 中存在远程执行漏洞的安全专家支付 5 万美元,而此前则是 3 万美元。此外公司还提升了远程或者近端内核漏洞的奖金至 3 万美元(此前为 2 万美元)。通过已安装应用或者物理访问设备手段来破解 TrustZone 或者 Verified Boot 的奖金依然为 3 万美元。

2 收藏


直接登录

推荐关注