大公司一向是黑客们紧盯的目标,一旦有安全漏洞被发现,很快就可能被利用攻击。于是很多大公司通过悬赏的方式鼓励外部人员帮助查找漏洞,包括Facebook、微软和Mozilla等都曾采取过一些激励措施。本周二谷歌推出了针对查找安卓系统漏洞的“安卓安全奖励”计划,发现一次漏洞最少可获500美米奖励。
根据发现的错误或漏洞的安全级别,谷歌会支付对应的金额奖励。“中等级别”奖励500美米,“高级”奖励1000美米,“高危”则可获得2000美米。如果研究人员能够提供测试用例,谷歌会在原先奖金的基础上给予额外50%的奖励,如果能够提供补丁,奖金更会翻倍。
谷歌发言人表示,最终奖金数额将会由专门的小组负责审定。对于不寻常和特别的漏洞报告,他们将会给予更高的奖励。
移动设备的恶意软件数量的增长对于安卓而言也是潜在威胁的增长。尽管谷歌宣布截止去年年末只有不到1%的安卓设备上安装有“具备潜在危害的应用”,不过,对于全球有超过10亿的安卓用户而言,这仍然不是一个小的数字。
不过,想要获得谷歌的奖金也并非易事,只有首个发现和报告缺陷的人可以获得奖励。如果此类漏洞在被告知谷歌以前便公之于众,也将无法获得奖励。此外,导致具体应用崩溃的缺陷或者需要采取复杂操作手段才能得以重现的错误也不在被奖励之列。另外,最重要的是,只有在通过美国谷歌商店销售的设备上发现漏洞才有效。也就是说,目前只有Nexus 6以及Nexus 9满足要求。对此,谷歌表示公司只能对Nexus设备上的问题进行核实。
多年以来,从谷歌软件及服务中找到漏洞的安全研究人员,都可以得到该公司的奖励。这一项目起到了不错的效果。据谷歌一月份披露的数据显示,该公司自2010年以来已经为此支付了400多万美米。Facebook同样在2011年开始成立“漏洞奖励”项目。2014年,这一项目一共报道了17011起漏洞,较之2013年上涨了13%。Facebook对于单个漏洞的最低奖励额为500美米,不设上限。2014年的最高奖励额度为3万美米。2014年Facebook一共奖励来自65个国家321位黑客共130万美米。