Google上周揭露,自去年6月將Android平台納入抓漏獎勵計畫以來,迄今已收到超過250個合格的漏洞通報,總計支付逾55萬美元予82名研究人員,同時宣布新的一年將把獎勵金額提高33%。
Android安全獎勵計畫(Android Security Rewards)的目的在於邀請外界研究人員協助改善Android平台的安全性,並鎖定Nexus裝置,單一漏洞的最高獎金為3.8萬美元。在250個合格的通報中,有1/3涉及了Media Server。
根據Google的統計,這一年來該計畫總計支付了逾55萬美元予提出250個合格漏洞的82名研究人員,平均每個漏洞的獎金為2200美元,平均每名研究人員贏得了6700美元的獎勵,有15名研究人員拿到了超過1萬美元的獎金,績效最好的是趨勢科技在中國的安全研究人員Peter Pi,他總計提交了26個合格的安全漏洞,抱走了7.5萬美元的獎金。
為了激勵研究人員,Google提高了Android安全獎勵計畫的獎金,且自今年6月1日生效。
新的規則把附有概念性驗證程式的重大安全漏洞獎金從3000美元提高到4000美元,可造成遠端或近端攻擊的漏洞獎勵則從2萬美元增加到3萬美元,若是可造成TrustZone或Verified Boot危害的攻擊程式,獎金亦從3萬美元提高到5萬美元,各種附有概念性驗證程式或修補程式的高品質漏洞也可收到多出50%的獎金。