|
在Play Store上发明无数次歹意或被注入歹意程式的Android app后,Google周四颁布发表更新Google Play抓漏嘉奖大赛规范,将把下载次数跨越1亿次的app也纳入查验范畴。
Google Play 平安嘉奖方案(Google Play Security Reward Program,GPSRP)是Google和抓虫勾当平台HeckerOne及几家大型app开辟商合办,目标在找出Google Play上app的缝隙,从最紧张的远端程式码履行(Remote Code Execution,RCE),到盗取用户个资或凭证、中心人进犯(MITM)或导向垂纶网站等中低危害缝隙。但此次施行的工具,还包含了Play Store上下载次数跨越1亿的app。
Google但愿若是钻研职员找到非嘉奖类型的缝隙,依然要直接传递app开辟商,但若开辟商没有回应,且该app是安装下载数跨越1亿的知名app,则经过此方案传递缝隙。不外Google会先传递该厂商,等对方确认有缝隙且已修补后,才会通知钻研职员上传缝隙陈述加入本方案。Google暗示不包管厂商必定会回应,或缝隙钻研必失眠貼片,定会颁布。若是厂商没有回应或不修补缝隙,Google将循泛泛模式将其自PlayStore下架。
别的,若是该app厂商本身也有抓漏嘉奖方案,在这个厂商首肯下,钻研职员也能够双轨加入,是以最佳的环境是可以拿到二份奖金。参加Google这项抓漏方案的知名第三方app,还包含Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。
针对钻研职员上传的缝隙陈述,经审查合适本方案列出的缝隙类型,Google将供给2万~5百美元不等的嘉奖。
Play Store上热点app爆露马脚环境家常便饭。近期才爆出下载次数跨越1亿的Android版CamScanner,其告白函式库藏有歹意模组,遭Google告急移除。
Google同时候针对Android app、OAuth专案和Chrome扩充程式颁布发表开辟职员资料防护回馈方案(Developer Data Protection Reward Program)。Google指出,本方案旨在找出违背Play Store、Google API、Chrome Web Store程式政策的Android app,比方利用未获容许的API或资料收集、处置不妥,造成加害隐私、资料滥用或外泄等情景。针对合适审查的钻研,Google供茵蝶, 頭部按摩器,给100到1000美元的奖金。 |
|