谷歌已向研究人员支付300万美元保护整个安卓生态系统
谷歌为安卓系统推出赏金猎人计划已经持续几个年头,在这些年里谷歌向研究人员支付超过300 万美元奖金。
这些奖金仅包括安卓系统和谷歌应用商店安全问题, 诸如谷歌浏览器和谷歌其他产品的漏洞奖金不包括在内。
谷歌日前公布安卓赏金猎人计划的多个数据:
1.目前安卓系统和谷歌应用商店的赏金猎人计划已经持续三年, 共向外部研究人员支付的赏金达300万美元。
2.过去这些年里谷歌合计收到470份符合标准的安全漏洞报告, 平均每位安全研究人员的赏金增长达到23%。
3.谷歌给出的最高奖励至今还没有支出: 研究人员必须找到完整的漏洞利用链导致安全区和启动认证被破解。
4.在向谷歌提交漏洞的研究人员里还有99位研究人员顺带向谷歌提供单个或者是多个修复程序可以直接使用。
5.安卓漏洞赏金猎人计划里平均每个奖励达到2600美元,平均每个研究人员获得12500美元的漏洞报告奖金。
6.奇虎安全团队的Guang Gong获得的奖金最高:该研究人员提交的远程攻击链单次获得 11.25 万美元奖金。
6.1注: 11.25万美元奖金含10.5万美元安卓系统漏洞奖金和7500美元的安卓版谷歌浏览器沙盒逃逸漏洞奖金。
尽管谷歌推出的赏金猎人计划包含安卓系统和谷歌应用商店,但是目前提交漏洞最多的依然是安卓系统漏洞。
例如300 万美元的奖金里谷歌应用商店相关的奖金支出只有10万美元,剩余290万美元都是安卓系统漏洞的。
有兴趣参与安卓赏金猎人计划的安全研究人员可以点击这里查看详细的规则:Android Security Overview