Google漏洞賞金計畫　最高獎金3萬美元

編譯／鄭智懷

Google在本周稍早公布最新漏洞賞金計畫，廣招各路資安好手找出公司旗下開發與維護的Android程式漏洞，確保用戶與數據安全。據Google規劃，依照程式等級與漏洞威脅程度不同，最高能提供3萬美元（折合新台幣約92.3萬元）獎金，最少則提供500美元（折合新台幣約1.5萬元）。

公告指出，本次計畫涵蓋Google LLC、Developed with Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc、Waymo LLC 和Waze等單位開發之程式

至於在搜尋與修復漏洞範圍，主要限定於任意程式碼執行（ACE）與數據盜取兩大方面。另外，透過目錄遍歷（Path traversal）和Zip路徑（Zip Path）寫入任意檔案（arbitrary file write）、孤立權限（Orphaned permissions）等問題雖然不涉及上述漏洞，但也被列入獎勵範圍。

Google在本次洞賞金計畫將程式分為三級：第一級包含Google Play服務、AGSA、chrome、雲端、Gmail及遠端桌面；第二級則是與第一級程式、用戶數據與Google Play服務相關程式；第三級為不涉及用戶數據與Google Play服務相關程式。

而在賞金的獎勵上，Google為遠端與無須接觸就能採取任意程式碼執行類型的漏洞提高最高獎金。由第一級至第三級，金額分別為3萬、2.5萬（折合新台幣約76.9萬元）及2萬（折合新台幣約61.5萬元）美元。最低獎金則是第三級程式中，攻擊者處於同一網路利用低級漏洞，僅給予500美元獎勵。

Google提醒，任何漏洞的檢測都必須在自己的設備上進行，不得藉此訪問或入侵他人設備、破壞第三方數據，以及違反任何國家相關法規。

資料來源：BleepingComputer、Google

瀏覽 898 次