為了加強Google Play的app安全品質,Google將祭出獎金廣邀安全研究人員幫忙從特定Android app中找出並修補漏洞。

Google和抓蟲賞金方案平台HackerOne合作共同推出Google Play安全獎勵方案(Google Play Security Reward)。本方案要求參加者幫忙找出Google Play上app的漏洞,並直接以官方漏洞揭露流程通報該app的開發商。在開發商和參加者合作下,在90天內將漏洞修補完成者,由開發商向本方案提出申請,符合本方案資格領域者即可領取1,000美元的獎金。

此外,Google的Android安全部門還會額外頒發獎勵給得獎者,以感謝他們提升Google Play生態體系的安全性。

但本方案特別限制找出的漏洞必須是能在Android 4.4版本以上的裝置作用的遠端程式碼執行(Remote Code Execution, RCE)漏洞,即不用告知使用者或取得許可即可執行的漏洞,像是可下載任意程式碼、原生或JavaScript,使攻擊者取得所有控制權;可操控UI以執行交易的漏洞,如冒充使用者身份以行動銀行app轉帳,或開啟webview而導致網釣攻擊的漏洞等。同時,如果漏洞發生在不同app共謀(collusion)或不同app間有相依性之處,即不在此方案涵蓋範圍,也無法獲得獎金。

今天公佈本方案僅適用Google Play上Google自己開發的Android app,以及8家廠商的13個app,外部廠商名單包括阿里巴巴、Dropbox、Dulingo、Headspace、Line、Mail.ru、Snapchat及Tinder。Google 表示等方案規劃更完整,細節更確定後,會再擴及其他開發商。Google自有app漏洞通報管道分別為Google弱點獎勵方案,以及Chrome獎勵方案

本項方案希望能以人類之力補強Google Play的現有自動掃瞄技術,確保Google Play app的安全性。光是在今年,就接連傳出多起Google Play app遭惡意軟體滲透,或是惡意程式逃過安全掃瞄卻被安全公司爆料的事。今天賽門鐵克才公佈發現Google Play上8款app感染惡意程式,可讓受害裝置變成殭屍電腦。


Advertisement

更多 iThome相關內容