- A+
所属分类:未分类
Play商店平台上提供的数十个甚至数百个Android应用程序的安全漏洞对Google,应用程序开发人员尤其是用户来说仍然是一个严重的不便。 据漏洞测试专家称,该公司将更新其赏金计划,即Google Play安全奖励计划(GPSRP),希望降低智能手机用户的安全风险。
该计划经历的最重要的修改是,研究人员现在能够获得报告由Google以外的第三方开发的应用程序中的安全漏洞的赏金。
“我们的bug赏金计划的范围将会增加,因为它现在包括Google Play商店中至少有1亿次下载的所有应用程序,” Google的漏洞测试专家Patrick Mutchler说。 “无论弱势应用的开发者是否有漏洞赏金计划,研究人员都能获得他们报告的赏金,”他补充道。
根据Google的新安全标准,如果漏洞测试专家发现应用程序中的安全漏洞符合上述要求,Google将作为通知开发人员的负责任的披露平台并向研究人员提供奖励。 另一方面,如果易受攻击的应用程序的开发人员有错误披露程序,他们将能够渴望收集开发人员授予的奖励,因为Google将为该报告提供奖励。
这项决定的主要受益者是独立的安全研究人员,因为他们可以轻松获得工作报酬; 此外,热门应用程序的开发者,但没有足够的资源来设置错误赏金计划,也将体验谷歌新政策的好处。
除了此声明之外,Google还对报告必须满足的要求进行了一些微小的更改,以获得赏金,指明GPSRP计划中涉及哪些类型的安全漏洞:
- 远程执行代码执行(RCE)漏洞:研究人员应证明,可以在受害者的设备上运行本机ARM代码,而无需他们的批准或了解。 这类报告最高可达2万美元
- 盗窃或暴露敏感数据:指未经授权访问存储在其移动设备上的受害者的个人信息。 为了获得赏金,研究人员必须验证是否可以从启用了工厂安全设置的Android设备中提取信息。 谷歌为这些漏洞提供高达3千美元的资金
- 访问受保护的应用程序组件:当应用程序的某个组件从另一个应用程序处理先前的Intent而未正确验证它时会发生此缺陷,从而导致目标应用程序执行发送应用程序没有权限的操作。 这些缺陷也得到了谷歌3美元的奖励
国际网络安全研究所(IICS)的漏洞测试服务专家认为,通过扩展该计划,谷歌还试图让开发人员参与他们的漏洞披露方法,而不是公开发布漏洞而不通知受影响的开发人员,因为这种做法可能是有益的对于威胁演员。
2019年8月30日
