原标题:人人都能当奖金猎人,Google请你帮安卓App抓漏洞,奖金最高1,000美元
为了加强Google△Play的app安全品质,Google将祭出奖金广邀安全研究人员帮忙从特定Android△app中找出并修补漏洞。
Google和抓虫赏金方案平台HackerOne合作共同推出Google△Play安全奖励方案(Google△Play△Security△Reward)。本方案要求参加者帮忙找出Google△Play上app的漏洞,并直接以官方漏洞揭露流程通报该app的开发商。在开发商和参加者合作下,在90天内将漏洞修补完成者,由开发商向本方案提出申请,符合本方案资格领域者即可领取1,000美元的奖金。
此外,Google的Android安全部门还会额外颁发奖励给得奖者,以感谢他们提升Google△Play生态体系的安全性。
但本方案特别限制找出的漏洞必须是能在Android△4.4版本以上的装置作用的远端程式码执行(Remote△Code△Execution, RCE)漏洞,即不用告知使用者或取得许可即可执行的漏洞,像是可下载任意程式码、原生或JavaScript,使攻击者取得所有控制权;可操控UI以执行交易的漏洞,如冒充使用者身份以移动银行app转帐,或开启webview而导致网钓攻击的漏洞等。同时,如果漏洞发生在不同app共谋(collusion)或不同app间有相依性之处,即不在此方案涵盖范围,也无法获得奖金。
今天公布本方案仅适用Google△Play上Google自己开发的Android△app,以及8家厂商的13个app,外部厂商名单包括阿里巴巴、Dropbox、Dulingo、Headspace、Line、Mail.ru、Snapchat及Tinder。Google△表示等方案规划更完整,细节更确定后,会再扩及其他开发商。Google自有app漏洞通报管道分别为Google弱点奖励方案,以及Chrome奖励方案。
本项方案希望能以人类之力补强Google△Play的现有自动扫瞄技术,确保Google△Play△app的安全性。光是在今年,就接连传出多起Google△Play△app遭恶意软件渗透,或是恶意程式逃过安全扫瞄却被安全公司爆料的事。今天赛门铁克才公布发现Google△Play上8款app感染恶意程式,可让受害装置变成僵尸电脑。
相关:
微软以牙还牙揭露Chrome漏洞,还拿到1.5万美元Google抓漏奖金
示意图,与新闻事件无关。 微软于本周三(10/18)公布了一藏匿在Google△Chrome浏览器的安全漏洞,编号为CVE-2017-5121为一远端程式执行(Remote△Code△Execution,RCE)漏洞,指出强调沙箱安全政策对于Chrome的安
微软以牙还牙抓出Chrome漏洞,还拿到1.5万美元Google抓漏奖金
示意图,与新闻事件无关。 微软于本周三(10/18)公布了一藏匿在Google△Chrome浏览器的安全漏洞,编号为CVE-2017-5121为一远端程式执行(Remote△Code△Execution,RCE)漏洞,指出强调沙箱安全政策对于Chrome的安
示意图,与新闻事件无关。 图片来源: Microsoft 路透社引述微软前员工报道,微软一个追踪软件漏洞的资料库在2013年曾经遭到手段高超的骇客入侵。?报道引述多达5名微软前员工指出,这个资料库包含了许多常用软件也包
才说今年10月没有漏洞可补,Adobe本周一(10/16)就释出了紧急安全更新, 修补已被开采的Flash△Player零时差漏洞。此一安全漏洞的编号为CVE-2017-11292,是由卡巴斯基实验室(Kaspersky△Lab)所提报。该实验室是在
才说今年10月没有漏洞可补,Adobe本周一(10/16)就释出了紧急安全更新, 修补已被开采的Flash△Player零时差漏洞。此一安全漏洞的编号为CVE-2017-11292,是由卡巴斯基实验室(Kaspersky△Lab)所提报。该实验室是在