Android安全奖2017
原标题:2017 Android Security Rewards
链接:https://android-developers.googleblog.com/2017/06/2017-android-security-rewards.html
作者:Mayank Jain 和 Scott Roberts (来自Android安全团队)
翻译:arjinmc
两年前,我们推出了Android安全奖项计划。在第二年,我们看到了很大的进步。我们收到了研究人员超过450种资格的漏洞报告,平均每位研究人员的薪酬攀升了52.3%。除此之外,Android安全奖项的总支出翻了一番,达到了110万美元。自推出以来,我们向研究人员报了超过150万美元。
以下是Android安全奖项计划第二年的一些亮点:
- 对于导致TrustZone(信任区)或验证引导折中的完整的远程漏洞利用链,我们没有支付最高奖励金额。
- 我们支付了115名个人,平均每奖励2,150美元,每位研究员10,209美元。
- 我们向118个漏洞报告支付了我们的顶级调研团队C0RE Team,超过$ 30万。
- 我们支付了31名研究人员10,000美元或更多。
改进Android安全奖励计划
我们一直致力于改进Android安全奖励计划,而今天我们对2017年6月1日之后提交的所有漏洞报告进行了一些修改。
因为每个Android版本都包含更多的安全保护,没有研究人员在两年内就获得了一个漏洞链的最高奖励,所以我们很高兴为这些漏洞增加顶级支出。
- 针对远程漏洞利用或针对TrustZone(安全区)或已验证的启动漏洞的漏洞的奖励从50,000美元增加到20万美元。
- 远程内核利用的奖励从30,000美元增加到15万美元。
除了回报漏洞之外,我们还将继续与广泛和多样化的Android生态系统合作,以保护用户免受我们的计划报告的问题。我们与制造商合作,确保通过每月安全更新在设备上修复这些问题。 超过100台设备型号的大部分部署设备在过去90天内运行安全更新。此表显示了大部分部署的设备运行了过去两个月内的安全更新的模型:
| 生产厂家 | 设备 |
|---|---|
| 黑莓 | PRIV |
| 富士通 | F-01J |
| 通用移动 | GM5 Plus d,GM5 Plus,通用移动4G双通用移动4G |
| 金立 | A1 |
| 谷歌 | Pixel XL,Pixel,Nexus 6P,Nexus 6,Nexus 5X,Nexus 9 |
| LGE | LG G6,V20,Stylo 2 V,GPAD 7.0 LTE |
| 摩托罗拉 | Moto Z,Moto Z Droid |
| OPPO | CPH1613,CPH1605 |
| 三星 | Galaxy S8,Galaxy S8,Galaxy S7 Active,Galaxy S6 Active,Galaxy S5 Dual SIM,Galaxy C9 Pro,Galaxy C7,Galaxy J7,Galaxy On7 Pro,Galaxy J2,Galaxy A8,Galaxy Tab S2 9.7 |
| 夏普 | Android One S1,507SH |
| 索尼 | Xperia XA1,Xperia X |
| Vivo | Vivo 1609,Vivo 1601,Vivo Y55 |
资料来源:Google五月29日,2017。
感谢在过去一年中帮助Android变得更安全,更强大的人员。在一起,我们对安全研究做出了巨大的投资,帮助Android用户无处不在。如果您希望参与明年更好,请查看我们的详细计划规则。有关如何提交完整报告的提示,请参阅Bug猎人大学。