谷歌2021年漏洞悬赏870万美元再创纪录 强如谷歌也有数千漏洞

 

正如谷歌宣称的那样：“在整个2021年，我们与安全研究人员社区合作，识别和修复数千个漏洞，帮助确保我们的用户和互联网的安全。”所以一个是870万美元巨额赏金，一个是数千漏洞，强如谷歌的技术开发实力，不禁让人感叹，网络世界安全问题是如此的不堪。

 

我国有大量的安全企业参与了谷歌的漏洞奖励计划（VRP），对此我们过去也有相关报道，如去年年底谷歌发布2021 Chrome（VRP）Top20名单，就至少有11名国内个人或企业安全研究人员上榜，306政企安全集团、OPPO琥珀安全实验室、奇安信代码安全实验室、赛博昆仑实验室、墨云科技VLab实验室的安全研究员均榜上有名。

据我们了解，这些安全企业设有不同研究方向的安全实验室，为全行业安全生态致力繁多。安全419先前也接触过大量相关的安全研究人员，他们大多都持有一个态度，虽然说安全形势越加严峻，但如谷歌这般坚持采用高额漏洞奖励来维持自身安全生态的做法，仍然是业内最有效和效率最高的提升自身生态安全的做法。

 

但是情形也并不完全相同，比如我们关注到确实有安全研究人员因为漏洞奖励金额减少，一怒之下公开披露某绝对大厂研究发现的0day漏洞，这一做法虽然极不负责，但这一态度值得深思。

 

再回到谷歌这边，2021年谷歌漏洞奖励计划870万奖金部分其中330万用于奖励Chrome浏览器漏洞的研究发现，300万美元奖励用于安卓漏洞的研究发现，其中Chrome在国内浏览器排行中据第三方机构披露大概占比为60%左右，至于安卓，在智能手机操作系统市场更是具有统治地位，占有率也是可想而知。所以，谷歌漏洞奖励计划确实为其自身以及用户的我们带来的更安全的一种积极的可能。
 

 

以下为谷歌官方披露的2021年漏洞奖励计划（VRP）具体的项目统计数据：

 

1、安卓系统

 

安卓VRP在2021年的奖金额度近300万美元，比2020年翻了一番，同时也诞生了安卓VRP历史上最高的悬赏纪录：有人在安卓中发现漏洞链从而获得了15.7万美元奖金！

 

针对Pixel设备中使用的Titan-M安全芯片，谷歌制定了行业领先的150万美元漏洞悬赏，但目前仍无人认领。

 

谷歌推出了安卓芯片组安全奖励计划(ACSRP)，这是谷歌与某些安卓芯片组制造商合作提供的漏洞奖励计划。这是个私人的、仅限受邀参加的项目，是对投入时间和精力帮助使安卓设备更安全的研究人员提供的奖励和认可。2021年，ACSRP为220多份有效和独特的安全报告支付了29.6万美元奖金。

 

2、Chrome浏览器

 

Chrome VRP也创造了不少新纪录，115名Chrome研究人员因2021年提交的333份安全漏洞报告而获得奖励，总金额达330万美元。这些贡献不仅帮助谷歌改进了Chrome，而且通过增强所有基于Chromium的浏览器安全性，也提高了整个网络的安全性。

 

在330万美元奖励中，310万美元针对Chrome浏览器安全漏洞，250500美元针对Chrome OS漏洞，其中4.5万美元针对个人Chrome OS安全漏洞，2.7万美元是针对个人Chrome浏览器安全漏洞。

 

3、Google Play

 

Google Play向60多名安全研究人员支付了55万美元奖励。

 

Google Play安全奖励计划还发布了安卓应用黑客研讨会的内容，并发表了一篇博客，介绍了他们为支持下一代安卓应用安全研究人员所做的工作。

 

4、KCTF VRP

 

去年11月，谷歌扩大了针对KCTF集群攻击的奖励金额，从5000-10000美元增加到31337-50337美元。在过去的3个月里，有几位参赛者获得了175685美元的奖励。谷歌还将增加奖励的时间表延长到2月14日(从1月31日开始)，这应该会给更多人更多时间来发现漏洞。

 

5、GCP VRP

 

为了鼓励安全研究人员关注谷歌云平台，谷歌在2019年发起GCP VRP大奖。2021年3月，谷歌宣布了2020年该奖项的获奖者，并颁发了313337美元的奖金。

 

6、研究补助金

 

六年前，Google VRP启动了一项实验性的漏洞研究资助计划，以鼓励经验丰富的安全研究人员对谷歌产品和服务的安全性进行详细而广泛的研究。即使没有发现漏洞，他们也可以获得奖励。在2021年，谷歌向世界各地的120多名安全研究人员提供了20多万美元补助。

 

7、Project Zero

 

谷歌还发布了Project Zero的统计数据，这是该公司旗下漏洞猎人团队，他们也向其他公司报告发现漏洞的情况。谷歌Project Zero团队表示，他们发现修补安全漏洞所需的时间有所改善，通常需要52天，而三年前为80天。