隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2019
08
30

Google將下載次數超過1億的Android app列入抓漏範圍[轉載自iThome]

關鍵字:網頁設計程式設計專案開發網路行銷電子商務APP開發設計資訊安全

在Play Store上發現無數次惡意或被注入惡意程式的Android app後,Google周四宣佈更新Google Play抓漏獎勵大賽規範,將把下載次數超過1億次的app也納入檢驗範圍。

Google Play 安全獎勵方案(Google Play Security Reward Program,GPSRP)是Google和抓蟲活動平台HeckerOne及幾家大型app開發商合辦,目的在找出Google Play上app的漏洞,從最嚴重的遠端程式碼執行(Remote Code Execution,RCE),到竊取用戶個資或憑證、中間人攻擊(MITM)或導向釣魚網站等中低風險漏洞。但這次實施的對象,還包括了Play Store上下載次數超過1億的app。

 

Google希望如果研究人員找到非獎勵類型的漏洞,仍然要直接通報app開發商,但如果開發商沒有回應,且該app是安裝下載數超過1億的知名app,則經由此方案通報漏洞。不過Google會先通報該廠商,等對方確認有漏洞且已修補後,才會通知研究人員上傳漏洞報告參加本方案。Google表示不保證廠商一定會回應,或漏洞研究一定會公布。如果廠商沒有回應或不修補漏洞,Google將循平常模式將其自PlayStore下架。

 

此外,如果該app廠商自己也有抓漏獎勵方案,在這個廠商首肯下,研究人員也可以雙軌參加,因此最好的情況是可以拿到二份獎金。加入Google這項抓漏方案的知名第三方app,還包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。

針對研究人員上傳的漏洞報告,經審查符合本方案列出的漏洞類型,Google將提供2萬~5百美元不等的獎勵。

Play Store上熱門app爆出漏洞情況屢見不鮮。近期才爆出下載次數超過1億的Android 版CamScanner,其廣告函式庫藏有惡意模組,遭Google緊急移除。

Google同時間針對Android app、OAuth專案和Chrome擴充程式宣布開發人員資料防護回饋方案(Developer Data Protection Reward Program)。Google指出,本方案旨在找出違反Play Store、Google API、Chrome Web Store程式政策的Android app,例如使用未獲允許的API或資料蒐集、處理不當,造成侵犯隱私、資料濫用或外洩等情形。針對符合審查的研究,Google提供100到1000美元的獎金。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價