Google去年发出290万美元的抓漏奖金

Google于本周公布了2017年抓漏奖励专案（Vulnerability Reward Program）的成果，指出去年总计有来自全球60个国家的274名安全研究人员拿下1,230个奖项，颁发了290万美元的奖金。同一天也宣布扩大Google Play的抓漏奖励范畴。

根据Google的统计，去年不论是发现Google产品或Android漏洞的研究人员都获得了超过100万美元的奖金，针对Chrome漏洞所颁发的奖金较少，总计支付了290万美元的奖金，其中有逾16万美元捐给了慈善机构。

除了着墨于Google产品之外，Google还另外设立了漏洞研究补助金（Vulnerability Research Grant，VRG），以及用来改善开源码安全性的修补程式奖励计划（Patch Reward Program），去年有逾50名研究人员领走了12.5万美元的VRG补助金，开源社群则领走了5万美元的修补奖金。

去年一次拿下11.25万最高额奖金的是奇虎360团队的Guang Gong，Gong利用Chrome上的CVE-2017-5116与Android上的CVE-2017-14904安全漏洞攻陷了Google自行设计与开发的Pixel手机，由于Pixel为去年pwn2own行动骇客竞赛中唯一未被破解的装置，更彰显出Gong的实力。

另一化名为gzobqq的研究人员也因找到横跨5个元件的多个Chrome OS漏洞，而获颁10万美元奖金。

有鉴于已经有两年没人领走Android开采链的最高奖金，使得Google决定把奖项从5万美元提高到20万美元，同时也将Android的远端核心攻击的最高奖项从3万美元增加到15万美元。

至于去年新设的Google Play安全奖励计划（Google Play Security Reward Program）则是用来鼓励研究人员查探Google Play上热门程式的安全性，本周Google把远端程式攻击的奖金从1000美元提高到5000美元，也额外针对可外泄使用者资料的安全漏洞祭出1000美元的奖金。