转载

安卓安全奖励项目上线1年：因无人破解 TrustZone奖金提至$5万

　　2015 年 6 月 16 日，为 Android 操作系统营造更安全的使用环境 Google 宣布启动名为 Android 安全奖励（Android Security Rewards）的新项目，根据提交漏洞报告的类型和危险等级获得相应的现金奖励。项目上线运行 1 年，由于无人破解 Android 的 TrustZone 或者 Verified Boot 的远程漏洞，Google 宣布将会提升奖金上限。

　　Google 表示在过去一年共计接受并执行了超过 250 例安全漏洞奖励，但是令 Google 稍感遗憾的是超过四分之一都是第三方 OEM 厂商的代码，例如内核和设备驱动 BUG 等等。公司表示已经向 82 名安全专家支付了超过 55 万美元的奖金，这意味着平均每个 BUG 费用为 2200 美元，每名安全专家的奖金为 6700 美元。

　　其中部分安全专家要比其他人更富激情，Google 表示最出名的 BUG 猎人是@heisecode，他向 Google 提交了 26 项不同的 BUG，共计获得 75750 美元。Google 并未透露完整的清单，只是表明有 15 位安全专家获得了超过 1 万美元的奖金。

　　Google 表示将会向发现 TrustZone 或者 Verified Boot 中存在远程执行漏洞的安全专家支付 5 万美元，而此前则是 3 万美元。此外公司还提升了远程或者近端内核漏洞的奖金至 3 万美元（此前为 2 万美元）。通过已安装应用或者物理访问设备手段来破解 TrustZone 或者 Verified Boot 的奖金依然为 3 万美元。

正文到此结束