谷歌針對安卓應用啓動新的漏洞獎勵計劃。
近日,谷歌啓動針對其安卓應用的漏洞獎勵計劃—— Mobile Vulnerability Rewards Program ( Mobile VRP ) ,對發現谷歌公司安卓應用中的安全漏洞的研究人員進行獎勵。
Mobile VRP 的目标就是加快發現谷歌開發和維護的安卓應用中的安全漏洞。漏洞獎勵計劃的範圍包括 Google LLC、Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc、Waymo 和 Waze 開發的安卓應用。還包括:
Google Play Services ( com.google.android.gms )
AGSA ( com.google.android.googlequicksearchbox )
Google Chrome ( com.android.chrome )
Google Cloud ( com.google.android.apps.cloudconsole )
Gmail ( com.google.android.gm )
Chrome Remote Desktop ( com.google.chromeremotedesktop )
對不同漏洞,谷歌給與的獎勵也不同。對于無需用戶交互的遠程代碼執行漏洞,谷歌最高獎勵 3 萬美元,對于遠程敏感數據竊取漏洞,最高高于 7500 美元的獎勵。
漏洞種類
| 遠程或無需用戶交互 | 用戶需要點擊鏈接 | 用戶需要安裝惡意 APP 或受害者 APP 配置爲非默認方式 | 攻擊者與受害者需要屬于同一網絡 |
任意代碼執行 | $30,000 | $15,000 | $4,500 | $2,250 |
敏感數據竊取 | $7,500 | $750 | ||
其他漏洞 |
自 2010 年首次啓動漏洞獎勵計劃以來,谷歌累計向安全研究人員發放了超過 5000 萬美元的漏洞獎勵,涵蓋超過 15000 個安全漏洞。2022 年,谷歌累計發放漏洞獎勵 120 萬美元,其中包括一個包含 5 個安全漏洞的安卓漏洞利用鏈,獎勵金額爲 60.5 萬美元。
