谷歌为 Android 漏洞支付 45 万美元

　　Google 大幅提高了报告允许在 Android 应用程序中成功远程执行代码 (RCE) 的漏洞的奖励，将异常报告的最高现金支出提高到 450,000 美元。

　　这些更新与移动漏洞奖励计划(Mobile VRP)有关，该计划现在包括所谓的一级应用程序，包括Google Play服务，Google搜索应用程序，Google Cloud和Gmail。

　　根据移动VRP，该公司现在为无需用户交互即可远程执行代码的漏洞提供300,000美元，这一金额是之前30,000美元的奖励的十倍。此外，如果错误报告质量卓越，并且包括根本原因分析、修复建议和其他建议，研究人员可以获得高达 450,000 美元的奖金。

　　还宣布了 75,000 美元的奖励，用于在没有用户交互的情况下窃取敏感数据的漏洞利用。如果低质量的报告未能提供对漏洞的准确和详细描述、概念验证、重现漏洞的简单步骤以及漏洞影响的明确演示，则将按一半的费率获得补偿。

　　奖励的结构也发生了变化：标准奖励中现在包含了 SDK 的双重修饰符。这增加了总支付金额并简化了专家小组的决策。

　　总体而言，Google 的奖励表现在如下所示，不包括对质量卓越的报告增加的奖励：

　　谷歌信息安全工程师克里斯托弗·布拉西亚克(Kristoffer Blasiak)强调，去年5月推出的移动VRP已经取得了显著成果：“移动VRP于2023年5月推出，一年后，是时候回顾一下我们取得的成就了。最重要的是，我们收到了 40 多份有效的安全漏洞报告，向安全研究人员支付了近 100,000 美元的奖励。