漏洞奖励计划一直以来致力于用金钱的方式,鼓励安全研究人员提供漏洞报告并协助加固软件。2018年已经来临,据说经历了过去的一年,研究员们也收获了一个“鼓鼓囊囊”的钱包了——据悉,在2017年谷歌的漏洞奖励计划已经为其漏洞支付了290万美元的奖励金额。

  • 2017年 8月, 研究员龚广提交了一个针对Pixel的漏洞利用,可以组合Chroem render的远程代码注入与 Android的沙盒逃逸,来攻破大部分的安卓手机. 他也因此获得了该年度最大的漏洞奖励金额:$112,500.
  • 研究员 gzobqq 因 Chrome OS guest 模式下的远程代码漏洞 获得谷歌 $100,000 奖金
  • 研究员 Alex Birsan发现了 Google Issue Tracker数据权限问题,获得了15,600 美元奖金

谷歌漏洞奖励项目,最大单笔奖励11万美元

谷歌的漏洞奖励金额从500美元至100000美元不等,按照不同的奖励金额和时间花费进行了划分。谷歌还提供了漏洞研究补助项目、安全补丁奖励等等,前者为 2017 年选出的全球 50 名安全研究员提供了125000 美元的奖金,而在后面一个项目中谷歌为开源软件的安全修复提供 50000 美元的资金。

而2017年最大的单笔奖励金额为 112500 美元,这笔奖励包含在谷歌的安卓安全奖励项目之中,提供给一名发现Pixel手机漏洞的中国安全研究员。

由于该组合漏洞的影响面广,未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。其次,该漏洞是基于底层系统存在的,造成的危害最大,不法分子可利用该漏洞获取用户短信验证码、支付应用权限等,对用户的个人隐私和财产都造成极大威胁。及时发现漏洞修补漏洞,对于整个谷歌生态都会较大的积极作用。

持续扩大漏洞奖励项目规模

在发布此漏洞奖励之后,谷歌持续扩大漏洞奖励项目的规模,来吸引更多的人员参与项目。去年,Google 在远程内核漏洞奖励项目中提供的奖励金额从 3万 美元到 15 万美元不等,属于远程内核漏洞中的最高奖励。

漏洞奖励项目的覆盖面也已经拓展到了谷歌产品线的方方面面:Chrome、安卓系统 等等。在 2017 年 10 月他们的还发起了Google Play Store上流行应用程序的安全状态追踪项目。

在漏洞奖励项目中,谷歌还在与其他企业自有的漏洞计划展开合作,如通用汽车,Airbnb,万事达以及五角大楼计划。一些初创企业也在建立和管理平台式的安全中心和漏洞奖励计划,Bugcrowd 和 Hackerone 在2012年建立,迄今为止融资金额超 7500 万美元。

参考来源:techcrunch,Elaine整理

声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。