聚焦源代码安全,网罗国内外最新资讯!
谷歌扩大了原有的 Google Play 安全奖励计划 (GPSRP),研究人员只要从 Google Play 上安装量超过1亿次的安卓 app 中找到漏洞即可得到奖赏。另外,谷歌新推出“开发者数据保护奖励计划 (DDPRP)”,研究人员可报告盗取或滥用谷歌用户数据的第三方 app并获得赏金。
谷歌将GooglePlay 上所有安装量超过1亿次的app 纳入Google Play 安全奖励计划 (GPSRP) 中,而不管这些 app 开发者自身是否已经设立漏洞奖励计划。安全研究员如能找到漏洞,则可同时从 app 开发者的漏洞奖励计划和 Google Play 安全奖励计划中获得赏金。
谷歌在 2017年推出GPSRP,它最初的赏金范围是1000美元(私人数据被盗或app受保护组件遭访问)到5000美元(远程代码执行)。不过谷歌对这类非谷歌 app 漏洞的奖励计划并未引起安全圈的太大重视,研究员倾向于参与谷歌的其它漏洞奖励计划。截至目前,谷歌仅颁发出26.5万美元的奖励。
上个月,为激励安全研究人员的参与热情,谷歌增加了赏金额度,范围提高到3000美元(私人数据被盗或app受保护组件遭访问)到20000美元(远程代码执行)。
谷歌会把所有收到的漏洞报告连同漏洞修复指南交给 app 开发者。如果 app 开发者未能修复这些漏洞,则其 app 会遭 Google Play 删除。这些警告信息将通过 Play Console 发送给 app 开发者。Play Console 是“应用安全改进 (App Security Improvement, ASI)”计划的部分,后者向 Google Play app 开发者提供改进 app 安全的建议。谷歌表示,迄今为止,ASI 计划已经帮助30多万开发人员修复了100多万款 app 中的问题。单在2018年,ASI 计划已帮助3万名开发者修复超过7.5万款 app 中的安全缺陷。
谷歌新推出的“开发者数据保护奖励计划 (DDPRP)”旨在奖励帮助“识别并缓解安卓 app、OAuth 项目和 Chrome 扩展中存在数据滥用情况”的研究人员。谷歌表示,该计划的目的是找到用户数据被异常使用或出售、或未经用户同意以非法形式用作他途的情况。
如数据滥用情况属实,则涉事app 和扩展将从 Google Play 或 Google Chrome Web Store 中遭删除。如果开发人员滥用谷歌服务 API 访问受限范围以外的数据,则其 API 访问权限也将遭撤销。
虽然尚未发布该漏洞奖励计划的赏金范围,但谷歌表示根据所报告问题的影响来看,单个漏洞报告的最高赏金或达5万美元。
原文链接
https://www.zdnet.com/article/google-adds-all-android-apps-with-100m-installs-to-its-bug-bounty-program/
https://hackerone.com/googleplay
https://www.bleepingcomputer.com/news/security/google-rewards-bugs-found-in-all-android-apps-with-100m-installs/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
