2月7日,谷歌官方公開了2017年漏洞獎(jiǎng)勵(lì)計(jì)劃總結(jié)報(bào)告,全年共為提交漏洞的安全研究員發(fā)放了高達(dá)290萬美元的獎(jiǎng)勵(lì)金。以下為報(bào)告詳細(xì)內(nèi)容:
在新一年開始之際,我們來花點(diǎn)時(shí)間回顧一下2017年的漏洞獎(jiǎng)勵(lì)計(jì)劃。當(dāng)然其中也加入了2014年、2015年和2016年的回顧,展示我們漏洞獎(jiǎng)勵(lì)計(jì)劃的進(jìn)程。
這篇博文的核心是向安全研究團(tuán)隊(duì)表示由衷的感謝。在各位的持續(xù)幫助下,谷歌的用戶和我們的產(chǎn)品變得愈發(fā)安全。我們期待著在2018年及今后繼續(xù)與各個(gè)團(tuán)隊(duì)保持合作!
用數(shù)據(jù)說話:2017年
以下是2017年,我們?nèi)绾螌?duì)研究人員提供的報(bào)告進(jìn)行獎(jiǎng)勵(lì)的:
為獎(jiǎng)勵(lì)研究人員在谷歌產(chǎn)品內(nèi)發(fā)現(xiàn)漏洞并報(bào)告給我們,我們授予過研究人員超過100萬美元獎(jiǎng)金。安卓也有相近的獎(jiǎng)金數(shù)額。再加上我們的Chrome獎(jiǎng)勵(lì),去年一年,我們向研究人員提供的報(bào)告累計(jì)獎(jiǎng)勵(lì)了近300萬美元。
再深入一點(diǎn),我們通過漏洞研究資助計(jì)劃(Vulnerability Research Grants Program)向來自世界各地的50多名安全研究人員頒發(fā)了12.5萬美元的獎(jiǎng)金,并將5萬美元獎(jiǎng)勵(lì)給那些努力工作的人,他們提高了開源軟件的安全性,這也是我們的補(bǔ)丁獎(jiǎng)勵(lì)計(jì)劃( Patch Rewards Program)的一部分。
幾個(gè)亮點(diǎn)漏洞
每年都有一些漏洞報(bào)告脫穎而出,有的研究也許特別巧妙,有些漏洞可能特別嚴(yán)重,或者有些報(bào)告特別有趣或者時(shí)效性很強(qiáng)。
這里是2017年最讓我們喜歡的一部分:
1. 8月,360 Alpha 團(tuán)隊(duì)安全研究員龔廣提出一個(gè)Pixel手機(jī)的漏洞鏈,這是一個(gè)Chrome沙箱渲染進(jìn)程的遠(yuǎn)程執(zhí)行漏洞與Android的libgralloc模塊中漏洞的組合,其中Android漏洞可用于從Chrome的沙箱中逃逸。作為Android安全獎(jiǎng)勵(lì)計(jì)劃的一部分,他獲得了今年最大的獎(jiǎng)勵(lì):112,500美元。在去年的移動(dòng)pwn2own比賽中,Pixel是唯一沒有被攻破的設(shè)備,而龔廣的報(bào)告也進(jìn)一步加強(qiáng)了Pixel的安全性。
2. 研究人員“gzobqq”獲得了Pwnium的10萬美元獎(jiǎng)金,他發(fā)現(xiàn)了一個(gè)五個(gè)組件的漏洞鏈,可在Chrome OS訪客模式下實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,。
3. Alex Birsan發(fā)現(xiàn),任何人都可以訪問Google內(nèi)部的問題跟蹤器數(shù)據(jù)。他詳細(xì)介紹了他的研究成果,我們?yōu)樗呐Κ?jiǎng)勵(lì)了15,600美元。
讓Android和Play更安全
在過去的一年中,我們繼續(xù)開展Android和Play安全獎(jiǎng)勵(lì)計(jì)劃。
在過去兩年多時(shí)間里,沒有人獲得Android利用鏈的最高獎(jiǎng)勵(lì),因此,我們宣布對(duì)遠(yuǎn)程漏洞鏈的最大獎(jiǎng)勵(lì)——也就是對(duì)能遠(yuǎn)程攻破TrustZone 或者Verified Boot的漏洞——將從5萬美元增加到20萬美元。我們還將遠(yuǎn)程內(nèi)核漏洞的最高獎(jiǎng)勵(lì)從3萬美元增加到15萬美元。
在十月份,我們推出了僅限受邀的Google Play安全獎(jiǎng)勵(lì)計(jì)劃,以鼓勵(lì)對(duì)Google Play上的熱門Android應(yīng)用進(jìn)行安全性研究。
今天,我們將遠(yuǎn)程代碼執(zhí)行的獎(jiǎng)勵(lì)范圍從1,000美元擴(kuò)展到5,000美元。我們還引入了一個(gè)新的類別,其中包括可能導(dǎo)致用戶隱私數(shù)據(jù)被盜的漏洞,未加密的信息,或?qū)е略L問受保護(hù)的應(yīng)用程序組件的漏洞。我們將為這些漏洞獎(jiǎng)勵(lì)1000美元。有關(guān)詳情,請?jiān)L問Google Play安全獎(jiǎng)勵(lì)計(jì)劃網(wǎng)站。
最后,我們希望告訴那些向Chrome Fuzzer Program提交Fuzzer的研究人員:他們的Fuzzer發(fā)現(xiàn)的每一個(gè)合格的漏洞都將獲得獎(jiǎng)勵(lì),無需再做額外的工作,甚至不需要再提交漏洞。
鑒于過去幾年良好的發(fā)展情況,我們期待漏洞獎(jiǎng)勵(lì)計(jì)劃在安全研究界的共同努力下,能夠在2018年保護(hù)更多用戶。
原文鏈接:
Google Online Security Blog: Vulnerability Reward Program: 2017 Year in Review https://security.googleblog.com/2018/02/vulnerability-reward-program-2017-year.html
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
近日,德國柏林國際電子消費(fèi)品展覽會(huì)(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計(jì)及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)成功斬獲兩項(xiàng)“IFA全球產(chǎn)品設(shè)計(jì)創(chuàng)新大獎(jiǎng)”金獎(jiǎng),有力證明了其在全球市場的強(qiáng)大影響力。
近日,中國家電及消費(fèi)電子博覽會(huì)(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項(xiàng)AWE 2024艾普蘭大獎(jiǎng)。
“以前都要去窗口辦,一套流程下來都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會(huì)組委會(huì)、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會(huì)共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會(huì)聯(lián)合上海人工智能實(shí)驗(yàn)室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開放原子開源基金會(huì)主辦的“2024全球開發(fā)者先鋒大會(huì)”,將于2024年3月23日至24日舉辦。