谷歌 奖励计划来识别其产品、Android 应用程序和各种开源软件中的漏洞。 2019年支付的奖励总额为6.5万美元,其中2.1万美元用于谷歌服务漏洞支付,1.9万美元用于Android,1万美元用于Chrome,800万美元用于Google Play应用程序(其余分配用于捐赠)。 相比之下,2018 年总共支付了 3.4 万美元,2015 年支付了 2 万美元。 9年来,付款总额达21万美元。
461名研究人员获奖。 最大付款201万元 研究人员Guang Kong发现了一个允许在Pixel 3设备上远程执行代码的漏洞(Android中的漏洞获得了161万美元的收益,Chrome中的漏洞获得了40万美元的收益)。
2019 年,谷歌 一项针对流行 Android 应用程序漏洞的奖励,有关 Google Android 应用程序中远程利用漏洞的信息成本从 5 美元增加到 20 万美元,数据泄露和访问受保护组件的费用从 1000 美元增加到 3000 美元。 通过访客访问模式完全破坏 Chromebook 或 Chromebox 的漏洞奖励已增加至 150 美元。
创建逃离 Chrome 沙箱环境的漏洞利用程序的最高付款额已从 15 美元增加到 30 万美元,绕过 JavaScript (XSS) 访问控制的方法的最高付款额从 7.5 美元增加到 20 万美元,在渲染时组织远程代码执行系统级别从7.5到10万-4万美元,用于识别信息泄漏-从5到20-7500万美元。 针对用户界面中的欺骗方法(5000 美元)、网络平台中的权限升级(5000 美元)以及绕过针对漏洞利用的保护(1000 美元)引入了付费方式。 在不展示漏洞利用情况下准备高质量和基本的漏洞描述的费用增加了一倍。 使用 Chrome Fuzzer 识别漏洞的奖金已增加至 XNUMX 美元。
来源: opennet.ru