Google上周公布2021年所發出的抓漏獎金總額為870萬美元,再度刷新歷史紀錄,比2020年的670萬美元增加了近30%。Google的抓漏獎勵專案分為五大領域,分別是Google、Google Play、Android、Chrome與濫用,其中,Google針對Chrome漏洞發出了330萬美元的獎金,位居第一,居次的則是與Android漏洞有關的獎金,亦高達294萬美元。
去年總計有來自全球62個國家的696名資安研究人員,領走了870萬美元的獎金,其中,Google頒布的單一最高獎金是15.7萬美元,它是涉及Android攻擊鏈的CVE-2021-39698漏洞。此外,資安研究人員也捐出了逾30萬美元的獎金予慈善機構。
在Android部分,Google獎勵的是找到Pixel手機及平板電腦安全漏洞的研究人員,其抓漏範圍除了核心程式之外,也涵蓋了Google所研發的Titan-M安全晶片,以及來自第三方供應商的晶片組,其中,獎金最高的是Pixel Titan M的150萬美元,不過,迄今尚未有人成功領走有關Pixel Titan M的獎金。但去年研發人員揭露了220個與其它晶片組有關的漏洞,總計領走29.6萬美元的獎金。
此外,去年獲得最多Android獎金的,是專注於發現Android安全漏洞的Bugsmirror Team,該團隊的Aman Pandey提報了232個有效的Android漏洞,惟Google並未透露他所領走的獎金規模。第二名則是來自臺灣的林禹成 Yu-Cheng Lin (@AndroBugs),他提出了128個有效漏洞。
在Chrome部分,去年總計有115個安全漏洞人員提交了333個Chrome的安全漏洞,領走330萬美元的獎金,其中有310萬美元與Chrome瀏覽器有關,只有25萬美元攸關Chrome OS,當中最高的一筆獎金為4.5萬美元。
可以發現,光是Android及Chrome就占了去年抓漏獎金的72%。另有55萬美元的獎金,分給了提報Google Play漏洞的60名安全研究人員。
Google去年設立了統一漏洞平臺Bug hunters,整合了Google所有的漏洞獎勵專案,還有名人榜與學習課程,讓資安研究人員方便互相交流及砥礪。
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-11-29