谷歌宣布推出首个安卓企业漏洞奖励计划
谷歌近日宣布推出首个安卓企业版漏洞赏金计划,其奖金相当丰厚,最高金额高达25万美元。
谷歌高级产品经理Rajeev Pathak表示:“我们相信审查和透明度是提高安全性的关键,因此我们推出了首个Android企业漏洞奖励计划。我们将提供高达25万美元的奖励,用来奖励安卓企业版本在 Pixel 设备上的运行漏洞。”
从关闭企业设备上的 USB 信号以阻止基于 USB 的攻击到改善密码复杂性控制,最新的Android 版本所包含的安全增强功能和控件为公司的数据保护提供了强有力的保障。
谷歌认为,与行业领导者合作(例如,Okta、Ping和Forgerock),迁移到自定义标签进行身份验证是将身份验证集成到 Android 企业应用的最佳方式。同时,谷歌还推出了Android管理API,为企业实现最快的交付功能提供强有力的支持和保障。
谷歌的漏洞赏金历史
2021年7月,谷歌推出了一个全新的平台,以此来托管其所有漏洞赏金计划(VRP)。
此外,谷歌还建立了赏金猎人大学。该平台能够将其所有的VRP(Google、Android、Abuse、Chrome和 Play)紧密结合并提供了统一的漏洞提交入口,便于“赏金猎人”们使用。 “猎人”可以在上面学习狩猎,提高自身技能。
谷歌表示,自2010年1月启动漏洞奖励计划以来,研究人员获得的奖金总额达29357516美元。
谷歌为符合条件的漏洞支付的奖励从100美元到31337美元不等,其奖金的总金额也会根据漏洞利用链而大幅增加。
例如,Alpha Lab 的龚广发现了可用于破坏 Pixel 3 设备的远程代码执行漏洞链,从而斩获了谷歌有史以来支付的最高额单笔奖金——201337美元。