Google去年總計發出870萬美元的抓漏獎金，Chrome與Android漏洞占7成

Google上周公布2021年所發出的抓漏獎金總額為870萬美元，再度刷新歷史紀錄，比2020年的670萬美元增加了近30%。Google的抓漏獎勵專案分為五大領域，分別是Google、Google Play、Android、Chrome與濫用，其中，Google針對Chrome漏洞發出了330萬美元的獎金，位居第一，居次的則是與Android漏洞有關的獎金，亦高達294萬美元。

去年總計有來自全球62個國家的696名資安研究人員，領走了870萬美元的獎金，其中，Google頒布的單一最高獎金是15.7萬美元，它是涉及Android攻擊鏈的CVE-2021-39698漏洞。此外，資安研究人員也捐出了逾30萬美元的獎金予慈善機構。

在Android部分，Google獎勵的是找到Pixel手機及平板電腦安全漏洞的研究人員，其抓漏範圍除了核心程式之外，也涵蓋了Google所研發的Titan-M安全晶片，以及來自第三方供應商的晶片組，其中，獎金最高的是Pixel Titan M的150萬美元，不過，迄今尚未有人成功領走有關Pixel Titan M的獎金。但去年研發人員揭露了220個與其它晶片組有關的漏洞，總計領走29.6萬美元的獎金。

此外，去年獲得最多Android獎金的，是專注於發現Android安全漏洞的Bugsmirror Team，該團隊的Aman Pandey提報了232個有效的Android漏洞，惟Google並未透露他所領走的獎金規模。第二名則是來自臺灣的林禹成 Yu-Cheng Lin (@AndroBugs)，他提出了128個有效漏洞。

在Chrome部分，去年總計有115個安全漏洞人員提交了333個Chrome的安全漏洞，領走330萬美元的獎金，其中有310萬美元與Chrome瀏覽器有關，只有25萬美元攸關Chrome OS，當中最高的一筆獎金為4.5萬美元。

可以發現，光是Android及Chrome就占了去年抓漏獎金的72%。另有55萬美元的獎金，分給了提報Google Play漏洞的60名安全研究人員。

Google去年設立了統一漏洞平臺Bug hunters，整合了Google所有的漏洞獎勵專案，還有名人榜與學習課程，讓資安研究人員方便互相交流及砥礪。