鑒于Play Store上發現無數惡意App或被注入惡意程序的Android應用后,google近日宣布更新Google Play抓漏獎勵大賽規則,將下載次數超過1億次的APP也納入檢驗范圍。
Google Play安全獎勵方案(GPSRP)是Google和抓漏活動平臺HeckerOne及幾家大型APP開發商合辦,目的在找出Google Play上APP的漏洞,從最嚴重的遠程代碼執行(RCE),到竊取個人信息或證書、中間人攻擊(MITM)或導向釣魚網站等中低風險漏洞。但這次實施的對象,還包括了Play Store上下載次數超過1億的APP。
當然Google希望如果研究人員找到非獎勵類型的漏洞,仍然要直接通報APP開發商,但如果開發商沒有回應,且該APP是安裝下載數超過1億的知名APP,則經由此方案通報漏洞。不過Google會先通報該廠商,等對方確認有漏洞且已修補后,才會通知研究人員上傳漏洞報告參加本方案。Google表示不保證廠商一定會回應,或漏洞研究一定會公布。如果廠商沒有回應或不修補漏洞,Google將循平常模式將其自PlayStore下架。
此外,如果該APP廠商自己也有抓漏獎勵方案,如果廠商首肯,研究人員也可以同時參加,因此最好的情況是可以拿到雙份獎金。加入Google這項抓漏方案的知名第三方APP,還包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。
針對研究人員上傳的漏洞報告,經審查符合本方案列出的漏洞類型,Google將提供2萬~5百美元不等的獎勵。
此外,Google還針對Android APP、OAuth項目和Chrome擴展插件宣布了開發者數據防護獎勵項目(Developer Data Protection Reward Program)。Google指出,此項目旨在找出違反Play Store、Google API、Chrome Web Store程序政策的Android APP,例如使用未獲允許的API或數據收集、處理不當,造成侵犯隱私、數據濫用或外泄等情形。針對符合審查的研究,Google將提供100到1000美元的獎金。
- 調查區域:企業小調查(點擊預覽可查看效果)
