找 Android 漏洞赢奖金

文 / Google Android 安全团队 Mayank Jain 和 Scott Roberts 

两年前，我们启动了 Android 安全奖计划。第二年，我们便取得了巨大的进展。我们收到广大“猎人”提交的 450 多份合格漏洞报告，每名“猎人”的平均报酬提升了 52.3%。除此之外，Android 安全奖的总支出也已翻倍，增加到 110 万美元。自启动该计划以来，我们累计为“猎人”发放的总奖金已经超过 150 万美元。 

以下是 Android 安全奖计划在第二年取得的一些重要成就： 

• 无人能够凭借建立完整的远程攻击链侵入 TrustZone 或 Verified Boot 而领取最高奖项。

• 我们为 115 名“猎人”发放了奖金，平均每笔奖金为 2,150 美元，每名"猎人"获得奖金 10,209 美元。

• 我们为我们的顶级"猎人"团队 C0RE Team 支付了 300,000 美元，感谢其提交了 118 个漏洞报告。

• 我们为 31 名"猎人"支付了不少于 10,000 美元的奖金。

感谢去年向我们提交完整漏洞报告的所有优秀"猎人"。 

对 Android 安全奖计划的改进

我们不断努力完善 Android 安全奖计划，目前，我们正在进行一些修改，这些改动适用于 2017 年 6 月 1 日之后提交的所有漏洞报告。 

由于每个 Android 版本均包含更多安全安全保护机制，因此，在过去 2 年中，尚无人能够凭借其攻击链而斩获最高奖，我们非常乐于为这些攻击提高我们的最高奖的奖金。 

• 对于侵入 TrustZone 或 Verified Boot 的远程攻击链或攻击，奖金从 5 万美元增加到 20 万美元。

• 对于远程内核攻击，我们的奖金从 3 万美元增加到 15 万美元。

除了漏洞报告奖励之外，我们还继续与庞大而多样化的 Android 生态系统合作，帮助用户防御通过我们的计划报告的问题。我们与制造商合作，确保通过每月安全更新在他们的设备上修复这些问题。 他们部署的 100 多种型号的设备中，大部分都在过去 90 天里运行过安全更新。下表显示的是他们部署的设备中大部分在过去两个月中运行过安全更新的型号： 

感谢在过去的一年里帮助我们将 Android 打造得更安全、更强大的每一位同仁。让我们一起大力投入安全研究，帮助世界各地的 Android 用户。如果您希望一起让明年变得更美好，请检查我们的详细计划规则：

https://www.google.com/about/appsecurity/android-rewards

有关如何提交完整报告的提示，请访问 Bug Hunter University：

https://sites.google.com/site/bughunteruniversity/improve/how-to-submit-an-android-platform-bug-report

了解更多详情，查看文内所有链接 (文档)，请点击文末“阅读原文”。

推荐阅读：

首发 | 2017 Google I/O 主题演讲双语字幕视频

竟想放弃学Android？还好我们请来了开发鼓励师

官方详细介绍Android Studio 3.0 Canary 1

#io17# Android中的新功能：Android O和其他发布

点击「阅读原文」，查看文内链接