在Play Store上發現無數次惡意或被注入惡意程式的Android app後,Google周四宣佈更新Google Play抓漏獎勵大賽規範,將把下載次數超過1億次的app也納入檢驗範圍。

Google Play 安全獎勵方案(Google Play Security Reward Program,GPSRP)是Google和抓蟲活動平台HeckerOne及幾家大型app開發商合辦,目的在找出Google Play上app的漏洞,從最嚴重的遠端程式碼執行(Remote Code Execution,RCE),到竊取用戶個資或憑證、中間人攻擊(MITM)或導向釣魚網站等中低風險漏洞。但這次實施的對象,還包括了Play Store上下載次數超過1億的app。

Google希望如果研究人員找到非獎勵類型的漏洞,仍然要直接通報app開發商,但如果開發商沒有回應,且該app是安裝下載數超過1億的知名app,則經由此方案通報漏洞。不過Google會先通報該廠商,等對方確認有漏洞且已修補後,才會通知研究人員上傳漏洞報告參加本方案。Google表示不保證廠商一定會回應,或漏洞研究一定會公布。如果廠商沒有回應或不修補漏洞,Google將循平常模式將其自PlayStore下架。

此外,如果該app廠商自己也有抓漏獎勵方案,在這個廠商首肯下,研究人員也可以雙軌參加,因此最好的情況是可以拿到二份獎金。加入Google這項抓漏方案的知名第三方app,還包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。

針對研究人員上傳的漏洞報告,經審查符合本方案列出的漏洞類型,Google將提供2萬~5百美元不等的獎勵。

Play Store上熱門app爆出漏洞情況屢見不鮮。近期才爆出下載次數超過1億的Android 版CamScanner,其廣告函式庫藏有惡意模組,遭Google緊急移除。

Google同時間針對Android app、OAuth專案和Chrome擴充程式宣布開發人員資料防護回饋方案(Developer Data Protection Reward Program)。Google指出,本方案旨在找出違反Play Store、Google API、Chrome Web Store程式政策的Android app,例如使用未獲允許的API或資料蒐集、處理不當,造成侵犯隱私、資料濫用或外洩等情形。針對符合審查的研究,Google提供100到1000美元的獎金。


Advertisement

更多 iThome相關內容