Google 近日发布官方博客表示,他们的漏洞奖励计划(VRP)在 2021 年继续得到增长,共发放了 870 万美元的漏洞奖励,其中这些找到漏洞的研究人员还将他们奖励中的 30 万美元捐赠给了慈善机构。
Android:
对于 Android 系统的漏洞奖励而言,2021 年与 2020 年相比,研究人员获得的报酬翻了一番。落到具体数字上的话,研究人员在 2021 年获得了近 300 万美元的奖励。Google 还发放了有史以来最大的单笔 Android 系统漏洞赏金 —— 15.7 万美元(研究员 gzobqq@gmail.com 在 Android 中发现了一个关键的漏洞利用链 CVE-2021-39698)。
漏洞奖励金额一览:
代码执行漏洞
Pixel Titan M:最高 100 万美元
安全元件:最高 25 万美元
可信执行环境:最高 25 万美元
内核:最高 25 万美元
特权进程:最高 10 万美元
数据泄露
由 Titan M 保护的高价值数据:最高 50 万美元
由安全元件保护的高价值数据:最高 25 万美元
Google 在去年还推出了 Android 芯片组安全奖励计划(Android Chipset Security Reward Program),这是 Google 与 Android 芯片制造商合作提供的漏洞奖励计划。2021 年,研究人员单单为这一个计划就提交了 220 多份安全报告,Google 为此共奖励了 29.6 万美元。
Chrome:
谈到 Chrome,Google 发放的奖励也创造了一个新纪录。他们向发现的 333 个 Chrome 安全漏洞,共 115 名研究人员发放了 330 万美元的奖励。这些贡献不仅可以帮助 Google 改进 Chrome,还能改进所有基于 Chromium 的浏览器。
在这 330 万美元中,有 310 万美元用于奖励 Chrome 浏览器中所发现的安全漏洞,另外的 20 多万美元则是用于奖励 Chrome OS 中的漏洞,其中对单个 Chrome OS 安全漏洞发放的最高奖金达到 4.5 万美元(在 Chrome OS 中实现 root 权限提升的问题),对单个 Chrome 浏览器安全漏洞发放的最高奖金则是 2.7 万美元。
其中 Chrome 在接收错误报告和向用户提供修复程序之间的间隔最短,平均时间为 30 天,而 Chrome 的竞争对手 Firefox 则需要 38天,Safari 甚至需要 73天。
Google Play:
Google Play 向 60 多名安全研究人员支付了 55 万美元的奖励。
Bug Hunters:
Google 在去年 7 月推出了一个全新的漏洞悬赏平台(我们对此也有报道),该平台为研究人员提供了一个提交 Google、Android、Chrome、Google Play 等漏洞的统一入口,简化了流程。该平台还通过提供各种维度的排行榜、奖励金额、徽章等功能,将提交漏洞的过程游戏化,进一步激发了研究人员的热情。未来 Google 还会积极听取研究人员的意见,持续改进这个平台。