2020
10
08

Google成立安全小組,專找「高度敏感」App的漏洞[轉載自IThome]

關鍵字:高度敏感APP漏洞

情境示意圖,圖片來源/Google

 

Google原本就有安全部門及技術負責Google Play Store的漏洞掃瞄,但最近一則招聘公告顯示Google計畫在現有編制外成立一個安全團隊,專門尋找高度敏感(highly sensitive)第三方Android App的漏洞。

Google要找的是安全工程部門的管理人才,位於Google加州山景市(Mountain View)及華盛頓州科克蘭市(Kirkland)。根據Google的人事公告,這個部門將針對Google Play Store上高度敏感的第三方Android應用程式執行應用安全評估,辨識漏洞並為受影響的App開發商提供修補指引。

此外,這個部門會和現有Android安全團隊,特別是負責App掃瞄和Google Play運作的人員合作,發展可大規模減少Android App漏洞發生的新方法。這個團隊可能面臨各種程式碼品質問題,還要偵測許多明顯或相當隱晦不明的瑕疵。

ZDNet引述Google Play Protect部門的軟體工程經理Sebastian Porst說法,所謂「高敏感性」的App包括COVID-19接觸追蹤或是和選舉有關等應用程式。

他也表示,這個部門的研究成果將和外界安全研究人員經由Google Play安全獎勵方案(Google Play Security Rewards Program,GPSRP)提供的漏洞通報相輔相成。GPSRP是Google Play和特定「受歡迎」Android App開發商合辦的漏洞獎勵方案,旨在找出Android App,包括任意程式碼執行(ACE)及敏感資料竊取兩大類型漏洞,也經由通知廠商來確保用戶安全。

所謂「受歡迎」的App,是指下載人次超過1億以上的App。但GPSRP近日也將Google、蘋果開發的COVID-19曝險通知API(Exposure Notification API)、以及使用這個API開發的民間App、或是政府開發的COVID-19接觸追蹤App暫時納入檢測範疇。

臉書也在9月初宣布一旦發現平臺上第三方軟體有漏洞會主動告知開發商,並設下90天修補時限,若業者不處理,臉書就會將漏洞公開。

傑立資訊傑立資訊事業有限公司

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.