Google去年总计发出870万美元的抓漏奖金，Chrome与Android漏洞占7成

苹果技巧 • 2023年8月25日 15:50 • 投稿

谷歌上周公布2021年所发出的抓漏奖金总额为870万美元，再度刷新历史纪录，比2020年的670万美元增加了近30%。谷歌的抓漏奖励项目分为五大领域，分别是谷歌、谷歌 Play、Android、Chrome与滥用，其中，谷歌针对Chrome 漏洞发出了330万美元的奖金，位居第一，居次的则是与Android漏洞有关的奖金，亦高达294万美元。

去年总计有来自全球62个国家的696名资安研究人员，领走了870万美元的奖金，其中，谷歌颁布的单一最高奖金是15.7万美元，它是涉及Android攻击链的CVE-2021-39698漏洞。此外，资安研究人员也捐出了逾30万美元的奖金予慈善机构。

在Android部分，谷歌奖励的是找到Pixel手机及平板电脑安全漏洞的研究人员，其抓漏范围除了核心程序之外，也涵盖了谷歌所研发的Titan-M安全芯片，以及来自第三方供应商的芯片组，其中，奖金最高的是Pixel Titan M的150万美元，不过，迄今尚未有人成功领走有关Pixel Titan M的奖金。但去年研发人员揭露了220个与其它芯片组有关的漏洞，总计领走29.6万美元的奖金。

此外，去年获得最多Android奖金的，是专注于发现Android安全漏洞的Bugsmirror Team，该团队的Aman Pandey提报了232个有效的Android漏洞，惟谷歌并未透露他所领走的奖金规模。第二名则是来自AndroBugs Security的林禹成，他提出了128个有效漏洞。

在Chrome部分，去年总计有115个安全漏洞人员提交了333个Chrome的安全漏洞，领走330万美元的奖金，其中有310万美元与Chrome浏览器有关，只有25万美元攸关Chrome OS，当中最高的一笔奖金为4.5万美元。

可以发现，光是Android及Chrome就占了去年抓漏奖金的72%。另有55万美元的奖金，分给了提报谷歌 Play漏洞的60名安全研究人员。

谷歌去年设立了统一漏洞平台Bug hunters，整合了谷歌所有的漏洞奖励项目，还有名人榜与学习课程，让资安研究人员方便互相交流及砥砺。