Google漏洞計劃因損害Pixel的Titan M芯片而增加100萬美元獎金

Google于2015年推出，今天通過新的Pixel Titan M獎擴展了其Android安全獎勵計劃，并詳細(xì)介紹了過去一年的亮點。

一項重大發(fā)展是一項新的100萬美元的最高獎金，用于全鏈遠(yuǎn)程代碼執(zhí)行攻擊，并具有在Pixel 3，Pixel 3a和Pixel 4上發(fā)現(xiàn)的Titan M安全元件的持久性。去年推出的Google定制企業(yè)級安全芯片年保護引導(dǎo)程序并保護設(shè)備上的數(shù)據(jù)。

同樣，一個新的漏洞利用類別包括數(shù)據(jù)泄露和鎖屏繞過，其獎勵最高可達(dá)500,000美元。

對于在特定Android開發(fā)人員預(yù)覽版中發(fā)現(xiàn)的漏洞利用，Google還將提供50%的獎金，這些漏洞通常始于三月開始，一直持續(xù)到八月/九月。結(jié)果，最高獎金現(xiàn)在價值150萬美元。Pixel Titan M獎和其他新獎勵今天開始生效，此處有完整詳細(xì)信息。

回顧2019年，該計劃支出了超過150萬美元，有100名參與研究的研究人員平均每項發(fā)現(xiàn)獲得3,800美元的收益。研究人員的平均年薪超過15,000美元，比上年增長20%。

今年最高的支出為161,337美元，涉及到Pixel 3上的一鍵式遠(yuǎn)程執(zhí)行代碼漏洞：

該報告詳細(xì)介紹了Pixel 3設(shè)備上首次報告的一鍵式遠(yuǎn)程執(zhí)行代碼利用漏洞。廣功從Android安全獎勵計劃中獲得161,337美元，Chrome獎勵計劃中獲得40,000美元，總計201,337美元。201,337美元的綜合獎勵也是所有Google VRP計劃中單個漏洞利用鏈的最高獎勵。此報告中利用的Chrome漏洞已在Chrome 77.0.3865.75中修復(fù)，并于9月發(fā)布，以保護用戶免受此漏洞利用鏈的侵害。