台灣防水抓漏隔熱論壇

標題: Google将下载次数超过1亿的Android app列入抓漏范围 [打印本頁]

作者: admin 時間: 2020-1-9 13:52
標題: Google将下载次数超过1亿的Android app列入抓漏范围
在Play Store上发明无数次歹意或被注入歹意程式的Android app后，Google周四颁布发表更新Google Play抓漏嘉奖大赛规范，将把下载次数跨越1亿次的app也纳入查验范畴。

Google Play 平安嘉奖方案（Google Play Security Reward Program，GPSRP）是Google和抓虫勾当平台HeckerOne及几家大型app开辟商合办，目标在找出Google Play上app的缝隙，从最紧张的远端程式码履行（Remote Code Execution，RCE），到盗取用户个资或凭证、中心人进犯（MITM）或导向垂纶网站等中低危害缝隙。但此次施行的工具，还包含了Play Store上下载次数跨越1亿的app。

Google但愿若是钻研职员找到非嘉奖类型的缝隙，依然要直接传递app开辟商，但若开辟商没有回应，且该app是安装下载数跨越1亿的知名app，则经过此方案传递缝隙。不外Google会先传递该厂商，等对方确认有缝隙且已修补后，才会通知钻研职员上传缝隙陈述加入本方案。Google暗示不包管厂商必定会回应，或缝隙钻研必失眠貼片,定会颁布。若是厂商没有回应或不修补缝隙，Google将循泛泛模式将其自PlayStore下架。

别的，若是该app厂商本身也有抓漏嘉奖方案，在这个厂商首肯下，钻研职员也能够双轨加入，是以最佳的环境是可以拿到二份奖金。参加Google这项抓漏方案的知名第三方app，还包含Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。

针对钻研职员上传的缝隙陈述，经审查合适本方案列出的缝隙类型，Google将供给2万～5百美元不等的嘉奖。

Play Store上热点app爆露马脚环境家常便饭。近期才爆出下载次数跨越1亿的Android版CamScanner，其告白函式库藏有歹意模组，遭Google告急移除。

Google同时候针对Android app、OAuth专案和Chrome扩充程式颁布发表开辟职员资料防护回馈方案（Developer Data Protection Reward Program）。Google指出，本方案旨在找出违背Play Store、Google API、Chrome Web Store程式政策的Android app，比方利用未获容许的API或资料收集、处置不妥，造成加害隐私、资料滥用或外泄等情景。针对合适审查的钻研，Google供茵蝶, 頭部按摩器,给100到1000美元的奖金。

歡迎光臨台灣防水抓漏隔熱論壇 (http://bbs.hf-film.com.tw/)