漏洞奖励计划:2017 年度回顾
文 / Google 漏洞奖励计划技术破解大师 Jan Keller
我们希望花点时间来回顾一下漏洞奖励计划在 2017 年的发展。这次回顾将介绍漏洞奖励计划取得的一些成绩。
这篇文章的核心是向安全研究社区表达真诚的感谢。是你们继续帮助让 Google 的用户和产品更加安全。我们期待在 2018 年及今后与整个社区继续协作!
数字诉说 2017
下面是我们 2017 年奖励研究员问题报告的概览:
针对研究员在 Google 产品中发现和报告的漏洞,我们向他们发放了超过 100 万美元的奖励,为 Android 漏洞报告提供的奖励金额也不相上下。再加上 Chrome 奖励,我们去年总共向研究员提供了接近 300 万美元,作为对他们报告漏洞的奖励。
说的具体一点,我们通过漏洞研究公益计划向全世界 50 多位安全研究员奖励了 12.5 万美元,通过补丁程序奖励计划向努力提升开放源代码软件安全性的开发者提供了 5 万美元。
一些错误亮点
每一年都有很多错误报告脱颖而出:研究变得非常高明,漏洞变得尤为严重,报告也变得极其古怪和富有乐趣!
下面是 2017 年我们最喜欢的一些报告:
8 月,研究员 Guang Gong 概括介绍了 Pixel 手机上的一个攻击链,这个攻击链将沙盒化 Chrome 渲染进程中的远程代码执行错误与通过 Android libgralloc 的后续沙盒逃逸相结合。作为 Android 安全奖励计划的一部分,他获得了去年最高金额的奖励:112,500 美元。Pixel 是唯一一款在去年的年度移动 pwn2own 竞赛期间未被攻破的设备,Guang 的报告帮助我们进一步强化了保护级别。
研究员“gzobqq”因为报告影响五个组件的错误链获得了 100,000 美元的 pwnium 奖,这些错误可以在 Chrome 操作系统访客模式下实现远程代码执行。
Alex Birsan 发现任何人都可以获取内部 Google Issue Tracker 数据的访问权限。我们授予他 15,600 美元,作为对他所做工作的奖励。
让 Android 和 Play 更安全
在过去一年,我们继续发展 Android 和 Play 安全奖励计划。
过去两年多一直没有人赢得 Android 攻击链的最高奖金,因此,我们宣布将远程攻击链(即侵入 TrustZone 或 Verified Boot 的攻击)的最高奖金从 50,000 美元增加到 200,000 美元。我们还将远程内核攻击的最高奖金从 30,000 美元增加到 150,000 美元。
10 月,我们推出了邀请制 Google Play 安全奖励计划,鼓励大家对 Google Play 上的热门 Android 应用进行安全性研究。
今天,我们计划将远程代码执行的最高奖金从 1,000 美元增加到 5,000 美元。我们还将引入一个新类别,收集可能导致用户的私有数据被窃取、信息以未加密方式传输的漏洞,或者导致访问受保护应用组件的错误。我们将向这些错误提供 1,000 美元的奖励。如需了解详细信息,请访问 Google Play 安全奖励计划网站:
https://hackerone.com/googleplay
最后,我们想特别感谢向 Chrome Fuzzer 计划提交模糊测试工具的研究员:模糊测试工具发现的每一个符合条件的错误都可以为他们赢得奖励,他们不需要进行更多工作,甚至不用提交错误。
鉴于这些年的良好发展,我们期待漏洞奖励计划在安全研究社区的共同努力下,能够在 2018 年为用户提供更多保护。
查看全文及文中链接,请点击文末“阅读原文”。