Google表示他们2023年总共发出1千万美元的漏洞通报奖金给研究人员,其中针对Android的漏洞奖金便高达340万美元。(图片来源/Google)
Google本周揭露去年抓漏奖励计划的结果,指出去年总计发出1,000万美元的奖金予68个国家的逾600名研究人员,当中有340万美元颁给了发现Android安全漏洞的研究人员,另有210万美元是奖励发现Chrome漏洞的研究人员。
去年Google推出许多新的抓漏奖励类型,包括v8CTF与Mobile VRP,也将Android与Google装置的最高漏洞奖金提升至1.5万美元。其中,v8CTF是针对Chrome采用的v8 JavaScript引擎所设立的夺旗(Capture The Flag,CTF)专案,只要成功利用v8上的安全漏洞就有机会获得奖金。
CTF专案与传统的漏洞奖励专案(Vulnerability Rewards Program,VRP)不同,VRP著重于发现安全漏洞,CTF则锁定如何利用这些漏洞,包括非零时差漏洞在内。至于Mobile VRP则是锁定Android平台上第一方应用程式的安全漏洞,亦即是由Google开发与维护的Android程式,如Chrome、Gmail、Google Maps、YouTube、Google Drive、Google Play Store或Google Calendar等。
整体而言,去年针对Android的漏洞奖金便高达340万美元。
Chrome亦为Google抓漏奖励计划的重点之一,去年的Chrome VRP提高了旧版Chrome v8漏洞的奖金,并推出高达3倍的完整攻击链奖金(Full Chain Exploit Bonus)。Google说明,因针对旧版Chrome的v8错误提供额外奖励,而发现了长期存在的v8漏洞,其中一项漏洞直接替研究人员带来3万美元的奖金。
而Google对Chrome完整攻击链的要求则包括必须可造成沙箱逃逸,示范如何于沙箱外执行程式码;必须能够自远端展开攻击,而有限或不依赖使用者互动;以及必须是锁定最新的Chrome版本,涵盖稳定版、延伸稳定版、开发版与测试版等,最高奖金将多达18万美元。
Google是在去年6月推出Full Chain Exploit Bonus,期限原本订为去年12月1日,之后再延长至今年2月14日,但依旧无人领走。Google表示,今年将会对任何想要挑战相关奖项的研究人员敞开大门。
研究人员在去年成功提交了359份有关Chrome浏览器的安全报告,总计获得210万美元的奖金。
Google也在去年针对生成式AI举办了bugSWAT即时骇客活动,收到35份合格的安全报告,送出8.7万美元的奖金。