找 Android 漏洞贏獎金

文 / Google Android 安全團隊 Mayank Jain 和 Scott Roberts 

兩年前，我們啟動了 Android 安全獎計劃。第二年，我們便取得了巨大的進展。我們收到廣大“獵人”提交的 450 多份合格漏洞報告，每名“獵人”的平均報酬提升了 52.3%。除此之外，Android 安全獎的總支出也已翻倍，增加到 110 萬美元。自啟動該計劃以來，我們累計為“獵人”發放的總獎金已經超過 150 萬美元。 

以下是 Android 安全獎計劃在第二年取得的一些重要成就： 

• 無人能夠憑藉建立完整的遠端攻擊鏈侵入 TrustZone 或 Verified Boot 而領取最高獎項。

• 我們為 115 名“獵人”發放了獎金，平均每筆獎金為 2,150 美元，每名"獵人"獲得獎金 10,209 美元。

• 我們為我們的頂級"獵人"團隊 C0RE Team 支付了 300,000 美元，感謝其提交了 118 個漏洞報告。

• 我們為 31 名"獵人"支付了不少於 10,000 美元的獎金。

感謝去年向我們提交完整漏洞報告的所有優秀"獵人"。 

對 Android 安全獎計劃的改進

我們不斷努力完善 Android 安全獎計劃，目前，我們正在進行一些修改，這些改動適用於 2017 年 6 月 1 日之後提交的所有漏洞報告。 

由於每個 Android 版本均包含更多安全安全保護機制，因此，在過去 2 年中，尚無人能夠憑藉其攻擊鏈而斬獲最高獎，我們非常樂於為這些攻擊提高我們的最高獎的獎金。 

• 對於侵入 TrustZone 或 Verified Boot 的遠端攻擊鏈或攻擊，獎金從 5 萬美元增加到 20 萬美元。

• 對於遠端核心攻擊，我們的獎金從 3 萬美元增加到 15 萬美元。

除了漏洞報告獎勵之外，我們還繼續與龐大而多樣化的 Android 生態系統合作，幫助使用者防禦通過我們的計劃報告的問題。我們與製造商合作，確保通過每月安全更新在他們的裝置上修復這些問題。 他們部署的 100 多種型號的裝置中，大部分都在過去 90 天裡執行過安全更新。下表顯示的是他們部署的裝置中大部分在過去兩個月中執行過安全更新的型號： 

感謝在過去的一年裡幫助我們將 Android 打造得更安全、更強大的每一位同仁。讓我們一起大力投入安全研究，幫助世界各地的 Android 使用者。如果您希望一起讓明年變得更美好，請檢查我們的詳細計劃規則：

https://www.google.com/about/appsecurity/android-rewards

有關如何提交完整報告的提示，請訪問 Bug Hunter University：

https://sites.google.com/site/bughunteruniversity/improve/how-to-submit-an-android-platform-bug-report

瞭解更多詳情，檢視文內所有連結 (文件)，請點選文末“閱讀原文”。

推薦閱讀：

首發 | 2017 Google I/O 主題演講雙語字幕視訊

竟想放棄學Android？還好我們請來了開發鼓勵師

官方詳細介紹Android Studio 3.0 Canary 1

#io17# Android中的新功能：Android O和其他釋出

點選「閱讀原文」，檢視文內連結