前情回顾·漏洞奖励计划动态

安全内参3月2日消息,过去一年,谷歌通过漏洞奖励计划支付了公司史上最高的总奖金金额,并对单个关键漏洞利用链奖励60.5万美元,打破单笔奖金纪录。

2022年全年,安全研究人员发现和上报的谷歌产品漏洞超过2900个,搜索巨头总计为此向703位研究人员支付了超1200万美元(约合人民币8200万元)。

图:2022年谷歌支付的漏洞奖金总额跃升至1200万美元

Android 单个漏洞奖金创纪录

谷歌发布了2022年漏洞奖励计划(VRP)的相关统计数据,概括了安全研究社区为提高谷歌产品安全性做出的贡献。

其中最大一笔奖金来自gzobqq提交的报告,详细介绍了一组Android漏洞利用链(CVE-2022-20427、CVE-2022-20428、CVE-2022-20454、CVE-2022-20459、CVE-2022-20460),总额达60.5万美元(约合人民币410万元)

2021年,gzobqq还发现并上报了Android中的另一条关键漏洞利用链,拿下15.7万美元,创造了当年的Android漏洞奖励计划的奖金纪录。

一般来说,通过谷歌漏洞奖金计划提交的Android 漏洞奖金不会超过1万美元。但对于漏洞利用链,谷歌设定的奖金上限则高达100万美元。

2022年,谷歌为700余个Android漏洞支付了480万美元奖金。做出突出贡献的各主要漏洞研究人员包括:

  • 安全厂商Bugsmirror的Aman Pandey,超过200个bug;

  • OPPO安珀安全实验室的韩子诺,—150个bug;

  • 林禹成,近100个bug。

去年,谷歌还组织了仅限受邀人士参加的Android芯片组安全奖励计划(ACSRP),共发现700份安全报告并发放48.6万美元奖金。这是一项由谷歌及Android芯片组制造商合作设立的内部奖励计划。

Chrome与开源软件漏洞赏金

2022年,谷歌还为Chrome浏览器中的363个漏洞和ChromeOS中的110个安全缺陷支付了总计400万美元

谷歌宣布,今年Chrome 漏洞奖励计划也将开始试运行,希望为浏览器和ChromeOS的安全问题上报注入更多活力。

2022年8月推出的开源产品漏洞奖励计划,迄今已向100多位研究人员发放了超11万美元奖金。

除了根据发现和上报的漏洞支付奖金之外,谷歌还向170多名研究人员提供了超25万美元的赠款。尽管没有发现任何漏洞,但谷歌仍感谢这些个人对于谷歌产品和服务的持续关注和研究。

谷歌还成为了NahamCon和BountyCon等安全会议的赞助商。

参考资料:https://www.bleepingcomputer.com/news/security/google-paid-12-million-in-bug-bounties-to-security-researchers/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。