矽供應商也加入抓漏獎勵行列，高通打頭陣

高通（Qualcomm Incorporated）上周宣布旗下子公司Qualcomm Technologies已透過HackerOne平台，推出抓漏獎勵計畫，邀請白帽駭客協助尋找Snapdragon家族處理器、LTE數據機及相關技術的安全漏洞，單一漏洞的最高獎金為1.5萬美元。

繼微軟、Google及臉書等軟體或網路服務業者之後，高通是全球首家加入抓漏獎勵計畫的矽供應商。高通工程副總裁Alex Gantman表示，該公司一直自豪於與安全研究社群的合作關係，這幾年來研究人員已經透過直接回報漏洞來協助他們改善產品的安全性，儘管多數的改善仍仰賴內部工程師，但此一計畫彰顯了該公司對安全的重視。

高通希望研究人員協尋的安全漏洞涵蓋硬體與軟體，硬體部分包括了Snapdragon處理器與數據機，軟體則涵蓋專為高通晶片組設計的Android for MSM專案、攸關特權使用者空間的各種程式、啟動程序、蜂巢數據機、WLAN/藍牙韌體，以及Trustzone上的高通安全執行環境（QSEE）等。

符合資格的漏洞報告必須具備詳細的資訊，包含漏洞的描述、所牽涉的程式碼片段或概念性驗證程式等各種可供評估漏洞狀態的內容，最好還加上所影響的裝置及版本、攻擊場景，及可能造成的傷害等。

低階漏洞的抓漏獎金可能低於1000美元，但中階就可獲得2000美元，高階漏洞為4000美元起跳，重大漏洞則能獲得8000美元以上的獎金，最高獎勵為1.5萬美元。

現階段該計畫採用邀請制，高通已邀請逾40名曾向該公司提報漏洞的安全研究人員參與，未來將陸續邀請其他白帽駭客參與。