Google成立安全小組，專找「高度敏感」App的漏洞

Google原本就有安全部門及技術負責Google Play Store的漏洞掃瞄，但最近一則招聘公告顯示Google計畫在現有編制外成立一個安全團隊，專門尋找高度敏感（highly sensitive）第三方Android App的漏洞。

Google要找的是安全工程部門的管理人才，位於Google加州山景市（Mountain View）及華盛頓州科克蘭市（Kirkland）。根據Google的人事公告，這個部門將針對Google Play Store上高度敏感的第三方Android應用程式執行應用安全評估，辨識漏洞並為受影響的App開發商提供修補指引。

此外，這個部門會和現有Android安全團隊，特別是負責App掃瞄和Google Play運作的人員合作，發展可大規模減少Android App漏洞發生的新方法。這個團隊可能面臨各種程式碼品質問題，還要偵測許多明顯或相當隱晦不明的瑕疵。

ZDNet引述Google Play Protect部門的軟體工程經理Sebastian Porst說法，所謂「高敏感性」的App包括COVID-19接觸追蹤或是和選舉有關等應用程式。

他也表示，這個部門的研究成果將和外界安全研究人員經由Google Play安全獎勵方案（Google Play Security Rewards Program，GPSRP）提供的漏洞通報相輔相成。GPSRP是Google Play和特定「受歡迎」Android App開發商合辦的漏洞獎勵方案，旨在找出Android App，包括任意程式碼執行（ACE）及敏感資料竊取兩大類型漏洞，也經由通知廠商來確保用戶安全。

所謂「受歡迎」的App，是指下載人次超過1億以上的App。但GPSRP近日也將Google、蘋果開發的COVID-19曝險通知API（Exposure Notification API）、以及使用這個API開發的民間App、或是政府開發的COVID-19接觸追蹤App暫時納入檢測範疇。

臉書也在9月初宣布一旦發現平臺上第三方軟體有漏洞會主動告知開發商，並設下90天修補時限，若業者不處理，臉書就會將漏洞公開。