针对安卓应用,谷歌启动新的漏洞奖励计划
谷歌针对安卓应用启动新的漏洞奖励计划。
近日,谷歌启动针对其安卓应用的漏洞奖励计划——Mobile Vulnerability Rewards Program (Mobile VRP),对发现谷歌公司安卓应用中的安全漏洞的研究人员进行奖励。
Mobile VRP的目标就是加快发现谷歌开发和维护的安卓应用中的安全漏洞。漏洞奖励计划的范围包括Google LLC、Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc、Waymo和Waze开发的安卓应用。还包括:
Google Play Services (com.google.android.gms)
AGSA( com.google.android.googlequicksearchbox)
Google Chrome (com.android.chrome)
Google Cloud (com.google.android.apps.cloudconsole)
Gmail (com.google.android.gm)
Chrome Remote Desktop (com.google.chromeremotedesktop)
对不同漏洞,谷歌给与的奖励也不同。对于无需用户交互的远程代码执行漏洞,谷歌最高奖励3万美元,对于远程敏感数据窃取漏洞,最高高于7500美元的奖励。
漏洞种类
| 远程或无需用户交互 | 用户需要点击链接 | 用户需要安装恶意APP或受害者APP配置为非默认方式 | 攻击者与受害者需要属于同一网络 |
任意代码执行 | $30,000 | $15,000 | $4,500 | $2,250 |
敏感数据窃取 | $7,500 | $4,500 | $2,250 | $750 |
其他漏洞 | $7,500 | $4,500 | $2,250 | $750 |
自2010年首次启动漏洞奖励计划以来,谷歌累计向安全研究人员发放了超过5000万美元的漏洞奖励,涵盖超过15000个安全漏洞。2022年,谷歌累计发放漏洞奖励120万美元,其中包括一个包含5个安全漏洞的安卓漏洞利用链,奖励金额为60.5万美元。
