2015年6月16日,為Android操作系統(tǒng)營造更安全的使用環(huán)境Google宣布啟動(dòng)名為Android安全獎(jiǎng)勵(lì)(Android Security Rewards)的新項(xiàng)目,根據(jù)提交漏洞報(bào)告的類型和危險(xiǎn)等級獲得相應(yīng)的現(xiàn)金獎(jiǎng)勵(lì)。項(xiàng)目上線運(yùn)行1年,由于無人破解Android的TrustZone或者Verified Boot的遠(yuǎn)程漏洞,Google宣布將會(huì)提升獎(jiǎng)金上限。
Google表示在過去一年共計(jì)接受并執(zhí)行了超過250例安全漏洞獎(jiǎng)勵(lì),但是令Google稍感遺憾的是超過四分之一都是第三方OEM廠商的代碼,例如內(nèi)核和設(shè)備驅(qū)動(dòng)BUG等等。公司表示已經(jīng)向82名安全專家支付了超過55萬美元的獎(jiǎng)金,這意味著平均每個(gè)BUG費(fèi)用為2200美元,每名安全專家的獎(jiǎng)金為6700美元。
其中部分安全專家要比其他人更富激情,Google表示最出名的BUG獵人是@heisecode,他向Google提交了26項(xiàng)不同的BUG,共計(jì)獲得75750美元。Google并未透露完整的清單,只是表明有15位安全專家獲得了超過1萬美元的獎(jiǎng)金。
Google表示將會(huì)向發(fā)現(xiàn)TrustZone或者Verified Boot中存在遠(yuǎn)程執(zhí)行漏洞的安全專家支付5萬美元,而此前則是3萬美元。此外公司還提升了遠(yuǎn)程或者近端內(nèi)核漏洞的獎(jiǎng)金至3萬美元(此前為2萬美元)。通過已安裝應(yīng)用或者物理訪問設(shè)備手段來破解TrustZone或者Verified Boot的獎(jiǎng)金依然為3萬美元。