情境示意圖,圖片來源/Google
Google原本就有安全部門及技術負責Google Play Store的漏洞掃瞄,但最近一則招聘公告顯示Google計畫在現有編制外成立一個安全團隊,專門尋找高度敏感(highly sensitive)第三方Android App的漏洞。
Google要找的是安全工程部門的管理人才,位於Google加州山景市(Mountain View)及華盛頓州科克蘭市(Kirkland)。根據Google的人事公告,這個部門將針對Google Play Store上高度敏感的第三方Android應用程式執行應用安全評估,辨識漏洞並為受影響的App開發商提供修補指引。
此外,這個部門會和現有Android安全團隊,特別是負責App掃瞄和Google Play運作的人員合作,發展可大規模減少Android App漏洞發生的新方法。這個團隊可能面臨各種程式碼品質問題,還要偵測許多明顯或相當隱晦不明的瑕疵。
ZDNet引述Google Play Protect部門的軟體工程經理Sebastian Porst說法,所謂「高敏感性」的App包括COVID-19接觸追蹤或是和選舉有關等應用程式。
他也表示,這個部門的研究成果將和外界安全研究人員經由Google Play安全獎勵方案(Google Play Security Rewards Program,GPSRP)提供的漏洞通報相輔相成。GPSRP是Google Play和特定「受歡迎」Android App開發商合辦的漏洞獎勵方案,旨在找出Android App,包括任意程式碼執行(ACE)及敏感資料竊取兩大類型漏洞,也經由通知廠商來確保用戶安全。
所謂「受歡迎」的App,是指下載人次超過1億以上的App。但GPSRP近日也將Google、蘋果開發的COVID-19曝險通知API(Exposure Notification API)、以及使用這個API開發的民間App、或是政府開發的COVID-19接觸追蹤App暫時納入檢測範疇。
臉書也在9月初宣布一旦發現平臺上第三方軟體有漏洞會主動告知開發商,並設下90天修補時限,若業者不處理,臉書就會將漏洞公開。
線