Google将下载量过亿Android APP列入抓漏范围

鉴于Play Store上发现无数恶意APP或被注入恶意程序的Android应用后,Google近日宣布更新Google Play抓漏奖励大赛规则,将下载次数超过1亿次的APP也纳入检验范围。

Google Play安全奖励方案(GPSRP)是Google和抓漏活动平台HeckerOne及几家大型APP开发商合办,目的在找出Google Play上APP的漏洞,从最严重的远程代码执行(RCE),到窃取个人信息或证书、中间人攻击(MITM)或导向钓鱼网站等中低风险漏洞。但这次实施的对象,还包括了Play Store上下载次数超过1亿的APP。

当然Google希望如果研究人员找到非奖励类型的漏洞,仍然要直接通报APP开发商,但如果开发商没有回应,且该APP是安装下载数超过1亿的知名APP,则经由此方案通报漏洞。不过Google会先通报该厂商,等对方确认有漏洞且已修补后,才会通知研究人员上传漏洞报告参加本方案。Google表示不保证厂商一定会回应,或漏洞研究一定会公布。如果厂商没有回应或不修补漏洞,Google将循平常模式将其自PlayStore下架。

此外,如果该APP厂商自己也有抓漏奖励方案,如果厂商首肯,研究人员也可以同时参加,因此最好的情况是可以拿到双份奖金。加入Google这项抓漏方案的知名第三方APP,还包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。

针对研究人员上传的漏洞报告,经审查符合本方案列出的漏洞类型,Google将提供2万~5百美元不等的奖励。

此外,Google还针对Android APP、OAuth项目和Chrome扩展插件宣布了开发者数据防护奖励项目(Developer Data Protection Reward Program)。Google指出,此项目旨在找出违反Play Store、Google API、Chrome Web Store程序政策的Android APP,例如使用未获允许的API或数据收集、处理不当,造成侵犯隐私、数据滥用或外泄等情形。针对符合审查的研究,Google将提供100到1000美元的奖金。

调查区域:企业小调查(点击预览可查看效果)

(7258038)

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190902A078XD00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券