谷歌针对安卓应用启动新的漏洞奖励计划。
近日,谷歌启动针对其安卓应用的漏洞奖励计划—— Mobile Vulnerability Rewards Program ( Mobile VRP ) ,对发现谷歌公司安卓应用中的安全漏洞的研究人员进行奖励。
Mobile VRP 的目标就是加快发现谷歌开发和维护的安卓应用中的安全漏洞。漏洞奖励计划的范围包括 Google LLC、Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc、Waymo 和 Waze 开发的安卓应用。还包括:
(资料图片仅供参考)
Google Play Services ( com.google.android.gms )
AGSA ( com.google.android.googlequicksearchbox )
Google Chrome ( com.android.chrome )
Google Cloud ( com.google.android.apps.cloudconsole )
Gmail ( com.google.android.gm )
Chrome Remote Desktop ( com.google.chromeremotedesktop )
对不同漏洞,谷歌给与的奖励也不同。对于无需用户交互的远程代码执行漏洞,谷歌最高奖励 3 万美元,对于远程敏感数据窃取漏洞,最高高于 7500 美元的奖励。
漏洞种类 | 远程或无需用户交互 | 用户需要点击链接 | 用户需要安装恶意 APP 或受害者 APP 配置为非默认方式 | 攻击者与受害者需要属于同一网络 |
任意代码执行 | $30,000 | $15,000 | $4,500 | $2,250 |
敏感数据窃取 | $7,500 | $750 | ||
其他漏洞 |
自 2010 年首次启动漏洞奖励计划以来,谷歌累计向安全研究人员发放了超过 5000 万美元的漏洞奖励,涵盖超过 15000 个安全漏洞。2022 年,谷歌累计发放漏洞奖励 120 万美元,其中包括一个包含 5 个安全漏洞的安卓漏洞利用链,奖励金额为 60.5 万美元。
