Google將下載次數超過1億的Android app列入抓漏範圍

在Play Store上發現無數次惡意或被注入惡意程式的Android app後，Google周四宣佈更新Google Play抓漏獎勵大賽規範，將把下載次數超過1億次的app也納入檢驗範圍。

Google Play 安全獎勵方案（Google Play Security Reward Program，GPSRP）是Google和抓蟲活動平台HeckerOne及幾家大型app開發商合辦，目的在找出Google Play上app的漏洞，從最嚴重的遠端程式碼執行（Remote Code Execution，RCE），到竊取用戶個資或憑證、中間人攻擊（MITM）或導向釣魚網站等中低風險漏洞。但這次實施的對象，還包括了Play Store上下載次數超過1億的app。

Google希望如果研究人員找到非獎勵類型的漏洞，仍然要直接通報app開發商，但如果開發商沒有回應，且該app是安裝下載數超過1億的知名app，則經由此方案通報漏洞。不過Google會先通報該廠商，等對方確認有漏洞且已修補後，才會通知研究人員上傳漏洞報告參加本方案。Google表示不保證廠商一定會回應，或漏洞研究一定會公布。如果廠商沒有回應或不修補漏洞，Google將循平常模式將其自PlayStore下架。

此外，如果該app廠商自己也有抓漏獎勵方案，在這個廠商首肯下，研究人員也可以雙軌參加，因此最好的情況是可以拿到二份獎金。加入Google這項抓漏方案的知名第三方app，還包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。

針對研究人員上傳的漏洞報告，經審查符合本方案列出的漏洞類型，Google將提供2萬～5百美元不等的獎勵。

Play Store上熱門app爆出漏洞情況屢見不鮮。近期才爆出下載次數超過1億的Android 版CamScanner，其廣告函式庫藏有惡意模組，遭Google緊急移除。

Google同時間針對Android app、OAuth專案和Chrome擴充程式宣布開發人員資料防護回饋方案（Developer Data Protection Reward Program）。Google指出，本方案旨在找出違反Play Store、Google API、Chrome Web Store程式政策的Android app，例如使用未獲允許的API或資料蒐集、處理不當，造成侵犯隱私、資料濫用或外洩等情形。針對符合審查的研究，Google提供100到1000美元的獎金。