Google现在将为特定的Android漏洞支付150万美元

 
当Google首次推出其针对Android的漏洞赏金计划时，发现和报告潜在漏洞的最大奖励为38,000美元。
随着Android的普及，限额随着时间的增长而增加，越来越多的安全研究人员加入其中，并且发现了更多的漏洞。今天早上，Google将最高奖励提高到了150万美元。
当然，他们不会为任何错误付出超过一百万美元的代价。
对于这一新的奖励类别，Google正在寻找“具有持久性的全链远程执行代码，从而破坏了Pixel设备上的Titan M安全元素。”换句话说，他们正在寻找一种无需攻击者物理访问即可利用的攻击。设备重置后，即使在重置设备并闯入Pixels内置的专用安全芯片后也可以执行代码。
报告符合要求的漏洞将使研究人员获得最高100万美元的资金。如果他们能够在Android的“特定开发人员预览版”上做到这一点，则可获得50%的奖励，将最高奖金提高到150万美元。
谷歌首先在Pixel 3中引入了Titan M安全芯片。正如谷歌在此处概述的那样，该芯片的工作主要是进行监督。它会仔细检查启动条件，验证固件签名，处理锁屏密码，并尝试阻止恶意应用强迫您的设备回滚到“较旧的，可能存在漏洞的” Android版本。在Pixel 4系列中可以找到相同的芯片。
确实，单个漏洞的150万美元听起来是很多……而且确实如此。这大约是Google在过去12个月内支付的所有漏洞赏金。该公司表示，今年的最高奖励是“一键式Pixel 3设备上的一键式远程执行代码开发漏洞”的161,337美元。与此同时，每笔发现的平均收益约为3,800美元。不过，鉴于可能会持续破坏Android旗舰形式的安全芯片的潜在严重性，因此合理的支出是有道理的。