大公司一向是黑客們緊盯的目標(biāo)，一旦有安全漏洞被發(fā)現(xiàn)，很快就可能被利用攻擊。于是很多大公司通過懸賞的方式鼓勵(lì)外部人員幫助查找漏洞，包括Facebook、微軟和Mozilla等都曾采取過一些激勵(lì)措施。本周二谷歌推出了針對查找安卓系統(tǒng)漏洞的“安卓安全獎(jiǎng)勵(lì)”計(jì)劃，發(fā)現(xiàn)一次漏洞最少可獲500美元獎(jiǎng)勵(lì)。

根據(jù)發(fā)現(xiàn)的錯(cuò)誤或漏洞的安全級(jí)別，谷歌會(huì)支付對應(yīng)的金額獎(jiǎng)勵(lì)?！爸械燃?jí)別”獎(jiǎng)勵(lì)500美元，“高級(jí)”獎(jiǎng)勵(lì)1000美元，“高危”則可獲得2000美元。如果研究人員能夠提供測試用例，谷歌會(huì)在原先獎(jiǎng)金的基礎(chǔ)上給予額外50%的獎(jiǎng)勵(lì)，如果能夠提供補(bǔ)丁，獎(jiǎng)金更會(huì)翻倍。

谷歌發(fā)言人表示，最終獎(jiǎng)金數(shù)額將會(huì)由專門的小組負(fù)責(zé)審定。對于不尋常和特別的漏洞報(bào)告，他們將會(huì)給予更高的獎(jiǎng)勵(lì)。

移動(dòng)設(shè)備的惡意軟件數(shù)量的增長對于安卓而言也是潛在威脅的增長。盡管谷歌宣布截止去年年末只有不到1%的安卓設(shè)備上安裝有“具備潛在危害的應(yīng)用”，不過，對于全球有超過10億的安卓用戶而言，這仍然不是一個(gè)小的數(shù)字。

不過，想要獲得谷歌的獎(jiǎng)金也并非易事，只有首個(gè)發(fā)現(xiàn)和報(bào)告缺陷的人可以獲得獎(jiǎng)勵(lì)。如果此類漏洞在被告知谷歌以前便公之于眾，也將無法獲得獎(jiǎng)勵(lì)。此外，導(dǎo)致具體應(yīng)用崩潰的缺陷或者需要采取復(fù)雜操作手段才能得以重現(xiàn)的錯(cuò)誤也不在被獎(jiǎng)勵(lì)之列。另外，最重要的是，只有在通過美國谷歌商店銷售的設(shè)備上發(fā)現(xiàn)漏洞才有效。也就是說，目前只有Nexus 6以及Nexus 9滿足要求。對此，谷歌表示公司只能對Nexus設(shè)備上的問題進(jìn)行核實(shí)。

多年以來，從谷歌軟件及服務(wù)中找到漏洞的安全研究人員，都可以得到該公司的獎(jiǎng)勵(lì)。這一項(xiàng)目起到了不錯(cuò)的效果。據(jù)谷歌一月份披露的數(shù)據(jù)顯示，該公司自2010年以來已經(jīng)為此支付了400多萬美元。Facebook同樣在2011年開始成立“漏洞獎(jiǎng)勵(lì)”項(xiàng)目。2014年，這一項(xiàng)目一共報(bào)道了17011起漏洞，較之2013年上漲了13%。Facebook對于單個(gè)漏洞的最低獎(jiǎng)勵(lì)額為500美元，不設(shè)上限。2014年的最高獎(jiǎng)勵(lì)額度為3萬美元。2014年Facebook一共獎(jiǎng)勵(lì)來自65個(gè)國家321位黑客共130萬美元。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。