台灣防水抓漏隔熱論壇

標題: Google将下载次数超过1亿的Android app列入抓漏范围 [打印本頁]

作者: admin 時間: 2020-3-11 12:57
標題: Google将下载次数超过1亿的Android app列入抓漏范围
在Play Store上发现无数次恶意或被注入恶意程式的Android 未上市,app后，Google周四公布颁发更新Google Play抓漏褒奖大赛规范，将把下载次数超过1亿次的app也纳入检验范围。

Google P茵蝶, lay 安全褒奖方案（Google Play Security Reward Progr灶台清潔,am，GPSRP）是Google和抓虫活动平台HeckerOne及几家大型app斥地商合办，方针在找出Google Play上app的裂缝，从最严重的远端程式码实行（Remote Code Execution，RCE），到窃取用户个资或凭证、中间人攻击（MITM）或导向钓鱼网站等中低风险裂缝。但这次实施的东西，还包括了Play Store上下载次数超过1亿的app。

Google希望如果研讨人员找到非褒奖类型的裂缝，仍然要直接通报app斥地商，但如果斥地商没有回应，且该app是安装下载数超过1亿的知名app，则颠末此方案通报裂缝。不过Go前列腺炎,ogle会先通报该厂商，等对方确认有裂缝且已修补后，才会通知研讨人员上传裂缝报告参加本方案。Google表示不保证厂商一定会回应，或裂缝研讨一定会公布。如果厂商没有回应或不修补裂缝，Google将循平常模式将其自PlayStore下架。

此外，如果该app厂商自己也有抓漏褒奖方案，在这个厂商首肯下，研讨人员也可以或许双轨参加，因此最好的情况是可以拿到二份奖金。加入Google这项抓漏方案的知名第三方app，还包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。

针对研讨人员上传的裂缝报告，经审查符合本方案列出的裂缝类型，Google将供应2万～5百美元不等的褒奖。

Pla團體服,y Store上热门app爆出漏洞情况屡见不鲜。近期才爆出下载次数超过1亿的Android版CamScanner，其广告函式库藏有恶意模组，遭Google垂危移除。

Google同时辰针对Android app、OAuth专案和Chrome扩充程式公布颁发斥地人员资料防护回馈方案（Developer Data Protection Reward Program）。Google指出，本方案旨在找出违反Play Store、Google API、Chrome Web Store程式政策的And蘆洲當持久藥，舖, roid app，例如操纵未获允许的API或资料采集、处理不当，造成侵犯隐私、资料滥用或外泄等情形。针对符合审查的研讨，Google供应100到1000美元的奖金。

歡迎光臨台灣防水抓漏隔熱論壇 (http://bbs.hf-film.com.tw/)