Android Security Rewards(ASR)项目是 Google 于 2015 年启动,主要对那些向公司提交 Android 安全漏洞的安全专家提供奖励。该项目要求专家在运行最新 Android 版的 Pixel 手机和平板上进行测试,然后根据漏洞的危险程度来提供不同的奖金。
在 2017 年 6 月份,项目得到了安全专家和白客的大力支持,Google 表示:“每个 Android 版本包含更多的安全保护,但是已经有两年没有专家获得漏洞链这个顶级大奖了。”不过在上周五,公司终于宣布来自奇虎 360 技术公司的 Guang Gong 赢得了这个大奖,奖金共计达到 11.25 万美元(约合 72 万人民币)。
获奖主要是因为 360 在去年 8 月份向 Google 提交了 CVE-2017-5116 漏洞和 CVE-2017-14904 漏洞,前者允许通过精心制作的 HTML 在沙盒中执行任意远程代码;后者则允许从沙盒中逃脱。
如果将这两个漏洞组合使用,能够允许在 Pixel 的 system_server 进程中远程注入任意代码。而且更糟糕的是,攻击者只需要用户在 Chrome 中点击精心制作的恶意 URL 就能发起攻击。
根据 Google 方面表示,Gong 将会从 ASR 项目中获得 10.5 万美元奖金,这也是该项目颁布的最高奖金。此外的 7500 美元来自于 Chrome Rewards 项目,该项目于 2010 年启动,主要奖励那些向公司提交 Chrome 和 Chrome OS 安全漏洞的专家。
更多信息访问:https://security.googleblog.com/2018/01/android-security-ecosystem-investments.html