谷歌安卓应用的RCE漏洞最高赏金45万美元

谷歌信息安全工程师 Kristoffer Blasiak 指出，“我们对某些类别内的赏金额最高增加到原来的10倍（如第一级别应用中的远程任意代码执行漏洞的赏金从3万美元增加到30万美元）。”谷歌还准备为高质量漏洞报告支付更高赏金，助力移动漏洞奖励计划团队更快做出决策。

谷歌移动漏洞奖励计划在2023年5月推出，涵盖由谷歌及其下属公司（如Fitbit、Waymo、Waze等）所开发的安卓应用。

这些应用分为三个级别：

第1级别 app 中的漏洞如可导致任意代码执行且可远程触发、无需用户交互，则可发现该漏洞的赏金猎人可获得30万美元的奖励。如需用户交互（如跟踪链接），则赏金减半。Blasiak 表示，“我们还借此机会增加希望研究人员能够特别关注的类别的赏金，确保我们妥善地为最具影响力的报告提供奖励。其中的一个例子是数据盗取，我们大幅增加了该类别的奖励，但我们同时也确保给出数据盗取所能产生的不同类别的影响示例，从而有助于澄清所购买的数据如何影响最终的赏金额。”

如漏洞可导致攻击者窃取敏感信息的情况：如漏洞可遭远程利用且无需用户交互，则最高可获得赏金7.5万美元 ；如需用户交互，则最高可获得赏金3.75万美元。

第2级别和第3级别所涵盖的漏洞所获赏金更少。

谷歌还希望激励漏洞猎人能够提交质量上乘的报告，即附加补丁/缓解措施的报告、根因分析和清晰展现漏洞影响的报告，这些报告可获得1.5倍的赏金。该团队指出，“请知晓：你的报告是由安全工程师分类的，简短的PoC要比解释某个漏洞后果的视频更有价值。”

Blasiak 白哦是，这些变化是根据顶级漏洞猎人的反馈而做出的。一年前，谷歌就曾宣布为组合利用多个漏洞实现完全利用 Chrome 的漏洞研究员颁发大额奖励。

显然，谷歌已经了解并接受了匹兹堡大学和卡内基梅隆大学研究团队最近的漏洞奖励计划研究结果，“更高的奖励激励道德黑客付出更多努力，从而增加了他们首先发现漏洞的概率，同时降低了恶意黑客的成功概率。”