|
在Play Store上发现无数次恶意或被注入恶意程式的Android 未上市,app后,Google周四公布颁发更新Google Play抓漏褒奖大赛规范,将把下载次数超过1亿次的app也纳入检验范围。
Google P茵蝶, lay 安全褒奖方案(Google Play Security Reward Progr灶台清潔,am,GPSRP)是Google和抓虫活动平台HeckerOne及几家大型app斥地商合办,方针在找出Google Play上app的裂缝,从最严重的远端程式码实行(Remote Code Execution,RCE),到窃取用户个资或凭证、中间人攻击(MITM)或导向钓鱼网站等中低风险裂缝。但这次实施的东西,还包括了Play Store上下载次数超过1亿的app。
Google希望如果研讨人员找到非褒奖类型的裂缝,仍然要直接通报app斥地商,但如果斥地商没有回应,且该app是安装下载数超过1亿的知名app,则颠末此方案通报裂缝。不过Go前列腺炎,ogle会先通报该厂商,等对方确认有裂缝且已修补后,才会通知研讨人员上传裂缝报告参加本方案。Google表示不保证厂商一定会回应,或裂缝研讨一定会公布。如果厂商没有回应或不修补裂缝,Google将循平常模式将其自PlayStore下架。
此外,如果该app厂商自己也有抓漏褒奖方案,在这个厂商首肯下,研讨人员也可以或许双轨参加,因此最好的情况是可以拿到二份奖金。加入Google这项抓漏方案的知名第三方app,还包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。
针对研讨人员上传的裂缝报告,经审查符合本方案列出的裂缝类型,Google将供应2万~5百美元不等的褒奖。
Pla團體服,y Store上热门app爆出漏洞情况屡见不鲜。近期才爆出下载次数超过1亿的Android版CamScanner,其广告函式库藏有恶意模组,遭Google垂危移除。
Google同时辰针对Android app、OAuth专案和Chrome扩充程式公布颁发斥地人员资料防护回馈方案(Developer Data Protection Reward Program)。Google指出,本方案旨在找出违反Play Store、Google API、Chrome Web Store程式政策的And蘆洲當持久藥,舖, roid app,例如操纵未获允许的API或资料采集、处理不当,造成侵犯隐私、资料滥用或外泄等情形。针对符合审查的研讨,Google供应100到1000美元的奖金。 |
|