谷歌回顧2017年漏洞獎(jiǎng)勵(lì)計(jì)劃 全年共發(fā)放290萬(wàn)美元獎(jiǎng)勵(lì)

2月7日，谷歌官方公開(kāi)了2017年漏洞獎(jiǎng)勵(lì)計(jì)劃總結(jié)報(bào)告，全年共為提交漏洞的安全研究員發(fā)放了高達(dá)290萬(wàn)美元的獎(jiǎng)勵(lì)金。以下為報(bào)告詳細(xì)內(nèi)容：

在新一年開(kāi)始之際，我們來(lái)花點(diǎn)時(shí)間回顧一下2017年的漏洞獎(jiǎng)勵(lì)計(jì)劃。當(dāng)然其中也加入了2014年、2015年和2016年的回顧，展示我們漏洞獎(jiǎng)勵(lì)計(jì)劃的進(jìn)程。

這篇博文的核心是向安全研究團(tuán)隊(duì)表示由衷的感謝。在各位的持續(xù)幫助下，谷歌的用戶和我們的產(chǎn)品變得愈發(fā)安全。我們期待著在2018年及今后繼續(xù)與各個(gè)團(tuán)隊(duì)保持合作!

用數(shù)據(jù)說(shuō)話：2017年

以下是2017年，我們?nèi)绾螌?duì)研究人員提供的報(bào)告進(jìn)行獎(jiǎng)勵(lì)的:

為獎(jiǎng)勵(lì)研究人員在谷歌產(chǎn)品內(nèi)發(fā)現(xiàn)漏洞并報(bào)告給我們，我們授予過(guò)研究人員超過(guò)100萬(wàn)美元獎(jiǎng)金。安卓也有相近的獎(jiǎng)金數(shù)額。再加上我們的Chrome獎(jiǎng)勵(lì)，去年一年，我們向研究人員提供的報(bào)告累計(jì)獎(jiǎng)勵(lì)了近300萬(wàn)美元。

再深入一點(diǎn)，我們通過(guò)漏洞研究資助計(jì)劃（Vulnerability Research Grants Program）向來(lái)自世界各地的50多名安全研究人員頒發(fā)了12.5萬(wàn)美元的獎(jiǎng)金，并將5萬(wàn)美元獎(jiǎng)勵(lì)給那些努力工作的人，他們提高了開(kāi)源軟件的安全性，這也是我們的補(bǔ)丁獎(jiǎng)勵(lì)計(jì)劃（ Patch Rewards Program）的一部分。

幾個(gè)亮點(diǎn)漏洞

每年都有一些漏洞報(bào)告脫穎而出，有的研究也許特別巧妙，有些漏洞可能特別嚴(yán)重，或者有些報(bào)告特別有趣或者時(shí)效性很強(qiáng)。

這里是2017年最讓我們喜歡的一部分：

1.  8月，360 Alpha 團(tuán)隊(duì)安全研究員龔廣提出一個(gè)Pixel手機(jī)的漏洞鏈，這是一個(gè)Chrome沙箱渲染進(jìn)程的遠(yuǎn)程執(zhí)行漏洞與Android的libgralloc模塊中漏洞的組合，其中Android漏洞可用于從Chrome的沙箱中逃逸。作為Android安全獎(jiǎng)勵(lì)計(jì)劃的一部分，他獲得了今年最大的獎(jiǎng)勵(lì):112,500美元。在去年的移動(dòng)pwn2own比賽中，Pixel是唯一沒(méi)有被攻破的設(shè)備，而龔廣的報(bào)告也進(jìn)一步加強(qiáng)了Pixel的安全性。

2. 研究人員“gzobqq”獲得了Pwnium的10萬(wàn)美元獎(jiǎng)金，他發(fā)現(xiàn)了一個(gè)五個(gè)組件的漏洞鏈，可在Chrome OS訪客模式下實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，。

3. Alex Birsan發(fā)現(xiàn)，任何人都可以訪問(wèn)Google內(nèi)部的問(wèn)題跟蹤器數(shù)據(jù)。他詳細(xì)介紹了他的研究成果，我們?yōu)樗呐Κ?jiǎng)勵(lì)了15,600美元。

讓Android和Play更安全

在過(guò)去的一年中，我們繼續(xù)開(kāi)展Android和Play安全獎(jiǎng)勵(lì)計(jì)劃。

在過(guò)去兩年多時(shí)間里，沒(méi)有人獲得Android利用鏈的最高獎(jiǎng)勵(lì)，因此，我們宣布對(duì)遠(yuǎn)程漏洞鏈的最大獎(jiǎng)勵(lì)——也就是對(duì)能遠(yuǎn)程攻破TrustZone 或者Verified Boot的漏洞——將從5萬(wàn)美元增加到20萬(wàn)美元。我們還將遠(yuǎn)程內(nèi)核漏洞的最高獎(jiǎng)勵(lì)從3萬(wàn)美元增加到15萬(wàn)美元。

在十月份，我們推出了僅限受邀的Google Play安全獎(jiǎng)勵(lì)計(jì)劃，以鼓勵(lì)對(duì)Google Play上的熱門Android應(yīng)用進(jìn)行安全性研究。

今天，我們將遠(yuǎn)程代碼執(zhí)行的獎(jiǎng)勵(lì)范圍從1,000美元擴(kuò)展到5,000美元。我們還引入了一個(gè)新的類別，其中包括可能導(dǎo)致用戶隱私數(shù)據(jù)被盜的漏洞，未加密的信息，或?qū)е略L問(wèn)受保護(hù)的應(yīng)用程序組件的漏洞。我們將為這些漏洞獎(jiǎng)勵(lì)1000美元。有關(guān)詳情，請(qǐng)?jiān)L問(wèn)Google Play安全獎(jiǎng)勵(lì)計(jì)劃網(wǎng)站。

最后，我們希望告訴那些向Chrome Fuzzer Program提交Fuzzer的研究人員：他們的Fuzzer發(fā)現(xiàn)的每一個(gè)合格的漏洞都將獲得獎(jiǎng)勵(lì)，無(wú)需再做額外的工作，甚至不需要再提交漏洞。

鑒于過(guò)去幾年良好的發(fā)展情況，我們期待漏洞獎(jiǎng)勵(lì)計(jì)劃在安全研究界的共同努力下，能夠在2018年保護(hù)更多用戶。

原文鏈接：

Google Online Security Blog: Vulnerability Reward Program: 2017 Year in Review  https://security.googleblog.com/2018/02/vulnerability-reward-program-2017-year.html

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。