Android安全性奖励(ASR)计划是由谷歌在2015年创建的,用来奖励提交Android安全漏洞研究者。货币奖励是根据发现漏洞的严重程度确定的,这些漏洞必须与Pixel手机和平板电脑的最新Android版本相关。 中国奇虎360科技公司的一位研究人员光弓获得了谷歌的112,500美元的发现错误奖金。他在2017年提交了两个错误:CVE-2017-5116和CVE-2017-14904。 这些漏洞允许远程注入任意代码到Pixel的system_server进程。而且更糟糕的是,攻击者只需要用户通过Chrome访问恶意URL即可执行攻击。 正如Google所指出的,Gong从ASR计划中获得了105,000美元,这是迄今为止最高的奖励,另外还有一项来自Chrome Rewards计划,于2010年推出,奖励那些将Chrome和Chrome操作系统安全漏洞提交给公司的人员。 当然,Google会公开这两个漏洞的详细信息。如果您对技术细节感兴趣,可以查看这篇博客文章。
|
