谷歌推高额奖励计划：鼓励研究人员发现安卓漏洞

网易科技讯6月17日消息，据国外媒体报道，对于那些投身安全领域且想要挣点零花钱的研究人员来说，现在机会来了！

谷歌于本周二推出了“安卓安全奖励”计划，鼓励研究人员寻找和发现更多安卓系统上存在的错误和漏洞。如果发现的错误或漏洞属于“中等级别”，谷歌会给予500美元奖励，“高级”对应的奖金是1000美元，“高危”则是2000美元。如果研究人员能够提供测试用例，谷歌会在原先奖金的基础上给予额外50%的奖励，如果能够提供补丁，奖金更会翻倍。

谷歌发言人表示，最终奖金数额将会由专门的小组负责审定。对于不寻常和特别的漏洞报告，他们将会给予更高的奖励。

安卓是全球最为流行的移动操作系统。上月，研究公司IDC预测，安卓智能手机的出货量在今年将达到14亿台，对应的市占率为79.4%。苹果iOS的份额则为16.4%。IDC进一步预测，截至2019年，安卓仍拥有高达79%的市占率。

虽然谷歌正积极寻找安卓系统中的各种缺陷和漏洞，但始终效率不高。而通过激发外部安全研究人员的积极性，谷歌有望在漏洞造成的影响大规模扩散之前就予以阻止。如今，黑客日益将关注重点放在移动操作系统上面，此举有望为用户带来更加安全的系统。

2月，安全公司FireEye发布了2014年度移动威胁报告。公司发现，在2014年1月至10月期间，以窃取金融数据为目的的恶意软件数量较去年同期大幅增长了500%。公司同时指出，移动设备上的恶意软件仍是这些黑客的首要目标。

有鉴于此，谷歌决定更加积极的行动起来，应对安卓系统上存在的潜在威胁。公司于今年4月发布了一份相关报告，称安卓系统上的恶意软件安装数量在2014年度下降了50%。去年年末，公司表示只有不到1%的安卓设备上安装有“具备潜在危害的应用”。当然，公司关于这方面软件的定义可能与用户眼中的有所区别。而且，全球有超过10亿安卓设备正被人们所使用，1%也意味着一个不小的数字。

“安卓安全奖励”计划规定，安全研究人员发现的缺陷和漏洞只能存在于通过美国谷歌商店销售的设备上。截至发稿为止，只有Nexus 6以及Nexus 9满足要求。其他安卓设备上的缺陷并不在该计划的奖励范围内。

谷歌发言人表示，该计划没有包括三星、HTC或其他厂商的产品，这是因为公司只能对Nexus设备上的问题进行核实。

同时，谷歌表示，只有首个发现和报告缺陷的人可以获得奖励。如果此类漏洞在被告知谷歌以前便公之于众，也将无法获得奖励。此外，导致具体应用崩溃的缺陷或者需要采取复杂操作手段才能得以重现的错误也不在被奖励之列。

公司曾经在Chrome浏览器上推行过类似计划，并取得了良好效果。2013年，一个名为Pinkie Pie的安全研究人员曾因发现Chrome上一处高危漏洞而获得了5万美元奖励。仅去年一年，谷歌便向发现Chrome及其他产品漏洞的研究人员发放了150万美元奖金。自2010年起，公司已经累计发放了400万美元奖金。

谷歌还表示，发现极端高危漏洞的研究人员有望在标准的奖励基础上获得额外的3万美元奖励。