Google漏洞計(jì)劃因損害Pixel的Titan M芯片而增加100萬(wàn)美元獎(jiǎng)金

Google于2015年推出，今天通過(guò)新的Pixel Titan M獎(jiǎng)擴(kuò)展了其Android安全獎(jiǎng)勵(lì)計(jì)劃，并詳細(xì)介紹了過(guò)去一年的亮點(diǎn)。

一項(xiàng)重大發(fā)展是一項(xiàng)新的100萬(wàn)美元的最高獎(jiǎng)金，用于全鏈遠(yuǎn)程代碼執(zhí)行攻擊，并具有在Pixel 3，Pixel 3a和Pixel 4上發(fā)現(xiàn)的Titan M安全元件的持久性。去年推出的Google定制企業(yè)級(jí)安全芯片年保護(hù)引導(dǎo)程序并保護(hù)設(shè)備上的數(shù)據(jù)。

同樣，一個(gè)新的漏洞利用類別包括數(shù)據(jù)泄露和鎖屏繞過(guò)，其獎(jiǎng)勵(lì)最高可達(dá)500,000美元。

對(duì)于在特定Android開(kāi)發(fā)人員預(yù)覽版中發(fā)現(xiàn)的漏洞利用，Google還將提供50%的獎(jiǎng)金，這些漏洞通常始于三月開(kāi)始，一直持續(xù)到八月/九月。結(jié)果，最高獎(jiǎng)金現(xiàn)在價(jià)值150萬(wàn)美元。Pixel Titan M獎(jiǎng)和其他新獎(jiǎng)勵(lì)今天開(kāi)始生效，此處有完整詳細(xì)信息。

回顧2019年，該計(jì)劃支出了超過(guò)150萬(wàn)美元，有100名參與研究的研究人員平均每項(xiàng)發(fā)現(xiàn)獲得3,800美元的收益。研究人員的平均年薪超過(guò)15,000美元，比上年增長(zhǎng)20%。

今年最高的支出為161,337美元，涉及到Pixel 3上的一鍵式遠(yuǎn)程執(zhí)行代碼漏洞：

該報(bào)告詳細(xì)介紹了Pixel 3設(shè)備上首次報(bào)告的一鍵式遠(yuǎn)程執(zhí)行代碼利用漏洞。廣功從Android安全獎(jiǎng)勵(lì)計(jì)劃中獲得161,337美元，Chrome獎(jiǎng)勵(lì)計(jì)劃中獲得40,000美元，總計(jì)201,337美元。201,337美元的綜合獎(jiǎng)勵(lì)也是所有Google VRP計(jì)劃中單個(gè)漏洞利用鏈的最高獎(jiǎng)勵(lì)。此報(bào)告中利用的Chrome漏洞已在Chrome 77.0.3865.75中修復(fù)，并于9月發(fā)布，以保護(hù)用戶免受此漏洞利用鏈的侵害。