Android抓漏獎勵首年成績出爐，中國研究人員抱走7.5萬美元

william77

Google去年6月將Android納入抓漏獎勵計畫以來，一年來共收到超過250個合格漏洞通報，共82名研究人員獲得55萬美元獎金。為鼓勵更多外部研究人員參與，6月起提高Android安全獎勵計畫獎金。

Google上周揭露，自去年6月將Android平台納入抓漏獎勵計畫以來，迄今已收到超過250個合格的漏洞通報，總計支付逾55萬美元予82名研究人員，同時宣布新的一年將把獎勵金額提高33%。
Android安全獎勵計畫（Android Security Rewards）的目的在於邀請外界研究人員協助改善Android平台的安全性，並鎖定Nexus裝置，單一漏洞的最高獎金為3.8萬美元。在250個合格的通報中，有1/3涉及了Media Server。
根據Google的統計，這一年來該計畫總計支付了逾55萬美元予提出250個合格漏洞的82名研究人員，平均每個漏洞的獎金為2200美元，平均每名研究人員贏得了6700美元的獎勵，有15名研究人員拿到了超過1萬美元的獎金，績效最好的是趨勢科技在中國的安全研究人員Peter Pi，他總計提交了26個合格的安全漏洞，抱走了7.5萬美元的獎金。
為了激勵研究人員，Google提高了Android安全獎勵計畫的獎金，且自今年6月1日生效。
新的規則把附有概念性驗證程式的重大安全漏洞獎金從3000美元提高到4000美元，可造成遠端或近端攻擊的漏洞獎勵則從2萬美元增加到3萬美元，若是可造成TrustZone或Verified Boot危害的攻擊程式，獎金亦從3萬美元提高到5萬美元，各種附有概念性驗證程式或修補程式的高品質漏洞也可收到多出50%的獎金。