谷歌 獎勵計劃來識別其產品、Android 應用程式和各種開源軟體中的漏洞。 2019年支付的獎勵總額為6.5萬美元,其中2.1萬美元用於谷歌服務漏洞支付,1.9萬美元用於Android,1萬美元用於Chrome,800萬美元用於Google Play應用程式(其餘分配用於捐贈)。 相比之下,2018 年總共支付了 3.4 萬美元,2015 年支付了 2 萬美元。 9年來,付款總額達21萬美元。
461名研究人員獲獎。 最大付款201萬元 研究人員Guang Kong發現了一個允許在Pixel 3設備上遠端執行程式碼的漏洞(Android中的漏洞獲得了161萬美元,Chrome中的漏洞獲得了40萬美元)。
2019 年,Google 一項針對流行 Android 應用程式漏洞的獎勵,有關 Google Android 應用程式中遠端利用漏洞的資訊成本從 5 美元增加到 20 萬美元,資料外洩和存取受保護組件的費用從 1000 美元增加到 3000 美元。 透過訪客存取模式完全破壞 Chromebook 或 Chromebox 的漏洞獎勵已增加至 150 美元。
創建逃離Chrome 沙箱環境的漏洞利用程式的最高付款額已從15 美元增加到30 萬美元,繞過JavaScript (XSS) 存取控制的方法的最高付款額從7.5 美元增加到20 萬美元,在渲染時組織遠端代碼執行系統等級從7.5到10萬-4萬美元,用於識別資訊洩漏-從5到20-7500萬美元。 針對用戶介面中的欺騙方法(5000 美元)、網路平台中的權限升級(5000 美元)以及繞過針對漏洞的保護(1000 美元)引入了付費方式。 在不展示漏洞利用情況下準備高品質和基本的漏洞描述的費用增加了一倍。 使用 Chrome Fuzzer 識別漏洞的獎金已增加至 XNUMX 美元。
來源: opennet.ru