原标题:Android安全奖励项目上线1年:因无人破解TrustZone奖金提至$5万

摘要:2015年6月16日,为Android操作系统营造更安全的使用环境Google宣布启动名为Android安全奖励(Android Security Rewards)的新项目,根据提交漏洞报告的类型和危险等级获得相应的现金奖励。项目上线运行1年,由于无人破解Android的TrustZone或者Verified Boot的远程漏洞,Google宣布将会提升奖金上限。

Google表示在过去一年共计接受并执行了超过250例安全漏洞奖励,但是令Google稍感遗憾的是超过四分之一都是第三方OEM厂商的代码,例如内核和设备驱动BUG等等。公司表示已经向82名安全专家支付了超过55万美元的奖金,这意味着平均每个BUG费用为2200美元,每名安全专家的奖金为6700美元。

其中部分安全专家要比其他人更富激情,Google表示最出名的BUG猎人是@heisecode,他向Google提交了26项不同的BUG,共计获得75750美元。Google并未透露完整的清单,只是表明有15位安全专家获得了超过1万美元的奖金。

Google表示将会向发现TrustZone或者Verified Boot中存在远程执行漏洞的安全专家支付5万美元,而此前则是3万美元。此外公司还提升了远程或者近端内核漏洞的奖金至3万美元(此前为2万美元)。通过已安装应用或者物理访问设备手段来破解TrustZone或者Verified Boot的奖金依然为3万美元。