Google漏洞計(jì)劃因損害Pixel的Titan M芯片而增加100萬美元獎金

Google于2015年推出，今天通過新的Pixel Titan M獎擴(kuò)展了其Android安全獎勵計(jì)劃，并詳細(xì)介紹了過去一年的亮點(diǎn)。

一項(xiàng)重大發(fā)展是一項(xiàng)新的100萬美元的最高獎金，用于全鏈遠(yuǎn)程代碼執(zhí)行攻擊，并具有在Pixel 3，Pixel 3a和Pixel 4上發(fā)現(xiàn)的Titan M安全元件的持久性。去年推出的Google定制企業(yè)級安全芯片年保護(hù)引導(dǎo)程序并保護(hù)設(shè)備上的數(shù)據(jù)。

同樣，一個(gè)新的漏洞利用類別包括數(shù)據(jù)泄露和鎖屏繞過，其獎勵最高可達(dá)500,000美元。

對于在特定Android開發(fā)人員預(yù)覽版中發(fā)現(xiàn)的漏洞利用，Google還將提供50%的獎金，這些漏洞通常始于三月開始，一直持續(xù)到八月/九月。結(jié)果，最高獎金現(xiàn)在價(jià)值150萬美元。Pixel Titan M獎和其他新獎勵今天開始生效，此處有完整詳細(xì)信息。

回顧2019年，該計(jì)劃支出了超過150萬美元，有100名參與研究的研究人員平均每項(xiàng)發(fā)現(xiàn)獲得3,800美元的收益。研究人員的平均年薪超過15,000美元，比上年增長20%。

今年最高的支出為161,337美元，涉及到Pixel 3上的一鍵式遠(yuǎn)程執(zhí)行代碼漏洞：

該報(bào)告詳細(xì)介紹了Pixel 3設(shè)備上首次報(bào)告的一鍵式遠(yuǎn)程執(zhí)行代碼利用漏洞。廣功從Android安全獎勵計(jì)劃中獲得161,337美元，Chrome獎勵計(jì)劃中獲得40,000美元，總計(jì)201,337美元。201,337美元的綜合獎勵也是所有Google VRP計(jì)劃中單個(gè)漏洞利用鏈的最高獎勵。此報(bào)告中利用的Chrome漏洞已在Chrome 77.0.3865.75中修復(fù)，并于9月發(fā)布，以保護(hù)用戶免受此漏洞利用鏈的侵害。