硅供应商也加入抓漏奖励行列，高通打头阵

高通上周宣布旗下子公司Qualcomm Technologies已透过 HackerOne平台 ，推出抓漏奖励计划，邀请白帽骇客协助寻找Snapdragon家族处理器、LTE数据机及相关技术的安全漏洞，单一漏洞的最高奖金为1.5万美元。

继微软、Google及脸书等软件或网路服务业者之后，高通是全球首家加入抓漏奖励计划的硅供应商。高通工程副总裁Alex Gantman表示，该公司一直自豪于与安全研究社交的合作关係，这几年来研究人员已经透过直接回报漏洞来协助他们改善产品的安全性，尽管多数的改善仍仰赖内部工程师，但此一计划彰显了该公司对安全的重视。

高通希望研究人员协寻的安全漏洞涵盖硬体与软件，硬体部分包括了Snapdragon处理器与数据机，软件则涵盖专为高通晶片组设计的Android for MSM专案、攸关特权使用者空间的各种程式、启动程序、蜂巢数据机、WLAN/蓝牙韧体，以及Trustzone上的高通安全执行环境等。

符合资格的漏洞报告必须具备详细的资讯，包含漏洞的描述、所牵涉的程式码片段或概念性验证程式等各种可供评估漏洞状态的内容，最好还加上所影响的装置及版本、攻击场景，及可能造成的伤害等。

低阶漏洞的抓漏奖金可能低于1000美元，但中阶就可获得2000美元，高阶漏洞为4000美元起跳，重大漏洞则能获得8000美元以上的奖金，最高奖励为1.5万美元。

现阶段该计划采用邀请制，高通已邀请逾40名曾向该公司提报漏洞的安全研究人员参与，未来将陆续邀请其他白帽骇客参与。