谷歌將為最嚴重的安卓漏洞支付150萬美元

谷歌表示，對其安卓手機Pixel系列最嚴重的黑客行為，谷歌將支付150萬美元，較之前的安卓獎勵增加了7倍以上。

谷歌在周四發布的一篇文章中稱，從即日起，谷歌將斥資100萬美元購買一款“具有持久性的全鏈遠程代碼執行漏洞，這將損害Pixel設備上的Titan M安全元素”。該公司還將支付50萬美元，用于利用從像素中提取數據或繞過鎖定屏幕的行為。

如果該漏洞在Android的特定開發者預覽版本上有效，谷歌將為其任何獎勵提供50%的獎金。這意味著對開發者預覽的關鍵泰坦M黑客可以獲得150萬美元，而開發人員預覽上的數據外傳或鎖定屏幕旁路可以獲得75萬美元的收入，以此類推。以前，如果涉及可信的執行環境，對最嚴重的android漏洞的獎勵高達20萬美元--這是android內部用于處理支付、多因素身份驗證和其他敏感功能的獨立操作系統--如果只涉及到android內核的妥協，則獎勵高達15萬美元。

這一巨大的回報增長恰逢谷歌(Google)大舉投資于確保Pixel的安全。泰坦M是谷歌設計的芯片，與設備的主要芯片組物理隔離。在許多方面，它類似于iPhone中的安全飛地或運行ARM處理器的設備中的Trustzone。土衛六M是谷歌2017年推出的土衛六芯片的移動版本。

土衛六執行四項核心職能，包括：

自Android安全獎勵計劃推出以來的四年里，它已經從1800多份報告中支付了400多萬美元。其中150多萬美元來自于過去12個月。今年的最高獎金是161，337美元，這筆錢是付給奇虎360技術阿爾法實驗室的廣功的，目的是在Pixel 3上一鍵點擊遠程代碼執行開發鏈。(功的利用從Chrome獎勵計劃獲得了額外的4萬美元。)