谷歌于本周大幅提高漏洞奖励

在本周四，谷歌正式发出通告，表示会大幅提高漏洞奖励，欢迎各大安全人员向其报告漏洞。

据这家科技巨头称，自从2010年推出Chrome漏洞悬赏计划以来，已经收到8500多份漏洞报告，共向研究人员支付了500多万美元的奖励。

而现在，谷歌公司决定全面提高漏洞奖励。例如，最高基线奖励从5000美元上涨到到15000美元（翻了三倍），而高质量的严重漏洞报告更是可以为白帽子赚取高达30000美元的奖金。

以Chrome OS（谷歌推出的操作系统）为例，一条可攻击并长期控制Chromebook（谷歌笔记本）或Chromebox设备的攻击链，价值高达150000美元。

不过，此前曾有私人漏洞收购公司以50万美元的价格收购针对Chrome的远程代码执行（并附带提权）漏洞。

此外，Google Play安全奖励计划所提供的奖金也有所增加。一个远程代码执行漏洞从最高5000美元上涨到20000美元，敏感信息泄露或者未授权访问漏洞从1000美元上涨到3000美元。该安全计划涵盖了谷歌和其他知名公司开发的Android应用，目标是提高Google Play生态的整体安全性。

虽然在谷歌产品中发现漏洞变得越来越困难——这也可能是该公司增加漏洞奖金的原因之一——但仍有研究人员在持续挖掘出一些有趣的漏洞，例如前不久的谷歌搜索引擎的XSS漏洞，以及另外一个以谷歌员工为目标，可获取敏感信息的XSS漏洞。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.securityweek.com/google-increases-bug-bounty-program-rewards/