Google 近日釋出表示,他們的漏洞獎勵計劃(VRP)在 2021 年繼續得到增長,共發放了 870 萬美元的漏洞獎勵,其中這些找到漏洞的研究人員還將他們獎勵中的 30 萬美元捐贈給了慈善機構。
Android:
對於 Android 系統的漏洞獎勵而言,2021 年與 2020 年相比,研究人員獲得的報酬翻了一番。落到具體數位上的話,研究人員在 2021 年獲得了近 300 萬美元的獎勵。Google 還發放了有史以來最大的單筆 Android 系統漏洞賞金 —— 15.7 萬美元(研究員 [email protected] 在 Android 中發現了一個關鍵的漏洞利用鏈 CVE-2021-39698)。
漏洞獎勵金額一覽:
- 程式碼執行漏洞
- Pixel Titan M:最高 100 萬美元
- 安全元件:最高 25 萬美元
- 可信執行環境:最高 25 萬美元
- 核心:最高 25 萬美元
- 特權程序:最高 10 萬美元
- 資料洩露
- 由 Titan M 保護的高價值資料:最高 50 萬美元
- 由安全元件保護的高價值資料:最高 25 萬美元
Google 在去年還推出了 Android 晶片組安全獎勵計劃(Android Chipset Security Reward Program),這是 Google 與 Android 晶片製造商合作提供的漏洞獎勵計劃。2021 年,研究人員單單為這一個計劃就提交了 220 多份安全報告,Google 為此共獎勵了 29.6 萬美元。
Chrome:
談到 Chrome,Google 發放的獎勵也創造了一個新紀錄。他們向發現的 333 個 Chrome 安全漏洞,共 115 名研究人員發放了 330 萬美元的獎勵。這些貢獻不僅可以幫助 Google 改進 Chrome,還能改進所有基於 Chromium 的瀏覽器。
在這 330 萬美元中,有 310 萬美元用於獎勵 Chrome 瀏覽器中所發現的安全漏洞,另外的 20 多萬美元則是用於獎勵 Chrome OS 中的漏洞,其中對單個 Chrome OS 安全漏洞發放的最高獎金達到 4.5 萬美元(在 Chrome OS 中實現 root 許可權提升的問題),對單個 Chrome 瀏覽器安全漏洞發放的最高獎金則是 2.7 萬美元。
其中 Chrome 在接收錯誤報告和向使用者提供修復程式之間的間隔最短,平均時間為 30 天,而 Chrome 的競爭對手 Firefox 則需要 38天,Safari 甚至需要 73天。
Google Play:
Google Play 向 60 多名安全研究人員支付了 55 萬美元的獎勵。
Bug Hunters:
Google 在去年 7 月推出了一個全新的漏洞懸賞平臺(