Google去年發出1,000萬美元的抓漏獎金,3成源自Android
· 2024-03-14

Google去年新增多種抓漏獎勵方案,包括針對Chrome採用的v8 JavaScript引擎所設立的奪旗專案,研究人員只要成功利用v8漏洞就有機會獲得獎金

Google表示他們2023年總共發出1千萬美元的漏洞通報獎金給研究人員,其中針對Android的漏洞獎金便高達340萬美元。(/Google)

Google本周揭露去年抓漏獎勵計畫的結果,指出去年總計發出1,000萬美元的獎金予68個國家的逾600名研究人員,當中有340萬美元頒給了發現Android安全漏洞的研究人員,另有210萬美元是獎勵發現Chrome漏洞的研究人員。

去年Google推出許多新的抓漏獎勵類型,包括v8CTF與Mobile VRP,也將Android與Google裝置的最高漏洞獎金提升至1.5萬美元。其中,v8CTF是針對Chrome採用的v8 JavaScript引擎所設立的奪旗(Capture The Flag,CTF)專案,只要成功利用v8上的安全漏洞就有機會獲得獎金。

CTF專案與傳統的漏洞獎勵專案(Vulnerability Rewards Program,VRP)不同,VRP著重於發現安全漏洞,CTF則鎖定如何利用這些漏洞,包括非零時差漏洞在內。至於Mobile VRP則是鎖定Android平臺上第一方應用程式的安全漏洞,亦即是由Google開發與維護的Android程式,如Chrome、Gmail、Google Maps、YouTube、Google Drive、Google Play Store或Google Calendar等。

整體而言,去年針對Android的漏洞獎金便高達340萬美元。

Chrome亦為Google抓漏獎勵計畫的重點之一,去年的Chrome VRP提高了舊版Chrome v8漏洞的獎金,並推出高達3倍的完整攻擊鏈獎金(Full Chain Exploit Bonus)。Google說明,因針對舊版Chrome的v8錯誤提供額外獎勵,而發現了長期存在的v8漏洞,其中一項漏洞直接替研究人員帶來3萬美元的獎金。

Google對Chrome完整攻擊鏈的要求則包括必須可造成沙箱逃逸,示範如何於沙箱外執行程式碼;必須能夠自遠端展開攻擊,而有限或不依賴使用者互動;以及必須是鎖定最新的Chrome版本,涵蓋穩定版、延伸穩定版、開發版與測試版等,最高獎金將多達18萬美元。

Google是在去年6月推出Full Chain Exploit Bonus,期限原本訂為去年12月1日,之後再延長至今年2月14日,但依舊無人領走。Google表示,今年將會對任何想要挑戰相關獎項的研究人員敞開大門。

研究人員在去年成功提交了359份有關Chrome瀏覽器的安全報告,總計獲得210萬美元的獎金。

Google也在去年針對生成式AI舉辦了bugSWAT即時駭客活動,收到35份合格的安全報告,送出8.7萬美元的獎金。

熱門文章
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
英國確認各垂直行業的賭博稅稅率
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
首頁
遊戲
合作
發現
我的