2015年6月16日,為Android操作系統(tǒng)營(yíng)造更安全的使用環(huán)境Google宣布啟動(dòng)名為Android安全獎(jiǎng)勵(lì)(Android Security Rewards)的新項(xiàng)目,根據(jù)提交漏洞報(bào)告的類(lèi)型和危險(xiǎn)等級(jí)獲得相應(yīng)的現(xiàn)金獎(jiǎng)勵(lì)。項(xiàng)目上線運(yùn)行1年,由于無(wú)人破解Android的TrustZone或者Verified Boot的遠(yuǎn)程漏洞,Google宣布將會(huì)提升獎(jiǎng)金上限。
Google表示在過(guò)去一年共計(jì)接受并執(zhí)行了超過(guò)250例安全漏洞獎(jiǎng)勵(lì),但是令Google稍感遺憾的是超過(guò)四分之一都是第三方OEM廠商的代碼,例如內(nèi)核和設(shè)備驅(qū)動(dòng)BUG等等。公司表示已經(jīng)向82名安全專(zhuān)家支付了超過(guò)55萬(wàn)美元的獎(jiǎng)金,這意味著平均每個(gè)BUG費(fèi)用為2200美元,每名安全專(zhuān)家的獎(jiǎng)金為6700美元。
其中部分安全專(zhuān)家要比其他人更富激情,Google表示最出名的BUG獵人是@heisecode,他向Google提交了26項(xiàng)不同的BUG,共計(jì)獲得75750美元。Google并未透露完整的清單,只是表明有15位安全專(zhuān)家獲得了超過(guò)1萬(wàn)美元的獎(jiǎng)金。
Google表示將會(huì)向發(fā)現(xiàn)TrustZone或者Verified Boot中存在遠(yuǎn)程執(zhí)行漏洞的安全專(zhuān)家支付5萬(wàn)美元,而此前則是3萬(wàn)美元。此外公司還提升了遠(yuǎn)程或者近端內(nèi)核漏洞的獎(jiǎng)金至3萬(wàn)美元(此前為2萬(wàn)美元)。通過(guò)已安裝應(yīng)用或者物理訪問(wèn)設(shè)備手段來(lái)破解TrustZone或者Verified Boot的獎(jiǎng)金依然為3萬(wàn)美元。
京公網(wǎng)安備 11010502049343號(hào)