2015年,Google啟動了Android Security Rewards計劃,該計劃向那些發現OS內發現錯誤和系統漏洞的人支付了獎勵。現在,Google宣布將最高支出提高到200,000美元。
錯誤賞金程序
Android安全獎勵計劃類似於技術行業的其他類似計劃。如果安全公司或個人在Android OS中發現了一個漏洞利用,並將其報告給Google,那麼他們將獲得現金獎勵。從那裡,Google使用該信息來修復利用並避免惡意組織的黑客。
支出因嚴重程度而異利用,但是,總體而言,Google有有薪酬的自該計劃開始以來,安全研究人員超過150萬美元。儘管如此,沒有人能夠要求Google的最大賞金,因此該公司已決定大大增加獎勵,以期吸引更多的工程師和研究人員加入該計劃。
內核利用
增加的獎勵適用於兩個賞金。首先是用於遠程內核利用。 Android基於開源Linux OS,該OS已用於創建流行的Ubuntu操作系統。像Linux一樣強大且適應能力,它確實包含幾個安全問題。至少從Google的角度來看,最令人不安的是遠程內核利用,這可能使未經授權的用戶能夠獲得對Android設備的遠程控製或竊取用戶的個人數據。 Google將遠程內核利用的支出從30,000美元增加到150,000美元。
信任區域或經過驗證的引導折衷
信任區是芯片技術上的系統,可幫助確保安全軟件,系統引導設置和生物識別數據(例如觸摸ID系統中使用的指紋掃描)是安全的。不用說,這是沒有人想要暴露於黑客的數據。
經過驗證的啟動是在Android Kitkat中引入的,以確保手機的軟件沒有被更改。每次手機啟動時,都會執行檢查,並且在運行Android 6.0及更高設備上,都會警告用戶篡改。可以理解的是,黑客會喜歡驗證的靴子。
發薪日
這兩種功能的獎勵已從50,000美元增加到200,000美元
假設沒有研究人員接受誘餌,那麼Google很可能會再次增加獎勵,直到有人認為值得他們發現這種利用是值得的。畢竟,每個軟件都有缺陷。最終,有人會發現其中一個錯誤。這只是一個問題,即是為Google工作還是試圖竊取個人數據的黑客。
