Google於本周公布了2017年抓漏獎勵專案(Vulnerability Reward Program)的成果,指出去年總計有來自全球60個國家的274名安全研究人員拿下1,230個獎項,頒發了290萬美元的獎金。同一天也宣布擴大Google Play的抓漏獎勵範疇。
根據Google的統計,去年不論是發現Google產品或Android漏洞的研究人員都獲得了超過100萬美元的獎金,針對Chrome漏洞所頒發的獎金較少,總計支付了290萬美元的獎金,其中有逾16萬美元捐給了慈善機構。
除了著墨於Google產品之外,Google還另外設立了漏洞研究補助金(Vulnerability Research Grant,VRG),以及用來改善開源碼安全性的修補程式獎勵計畫(Patch Reward Program),去年有逾50名研究人員領走了12.5萬美元的VRG補助金,開源社群則領走了5萬美元的修補獎金。
去年一次拿下11.25萬最高額獎金的是奇虎360團隊的Guang Gong,Gong利用Chrome上的CVE-2017-5116與Android上的CVE-2017-14904安全漏洞攻陷了Google自行設計與開發的Pixel手機,由於Pixel為去年pwn2own行動駭客競賽中唯一未被破解的裝置,更彰顯出Gong的實力。
另一化名為gzobqq的研究人員也因找到橫跨5個元件的多個Chrome OS漏洞,而獲頒10萬美元獎金。
有鑑於已經有兩年沒人領走Android開採鏈的最高獎金,使得Google決定把獎項從5萬美元提高到20萬美元,同時也將Android的遠端核心攻擊的最高獎項從3萬美元增加到15萬美元。
至於去年新設的Google Play安全獎勵計畫(Google Play Security Reward Program)則是用來鼓勵研究人員查探Google Play上熱門程式的安全性,本周Google把遠端程式攻擊的獎金從1000美元提高到5000美元,也額外針對可外洩使用者資料的安全漏洞祭出1000美元的獎金。
from iThome 新聞 http://ift.tt/2BQ1hoK
沒有留言:
張貼留言