匯流新聞網記者紀沈廷/綜合報導
一直以來,Google都清楚明白開放平台與生態系統的優勢,也認為最好的創意有時候會來自外部,也因此在經營Android系統的過程中,Google也都秉持著較為開放的態度,再透過漏洞獎勵計畫來鼓勵社群成員,持續幫助改進產品的安全性與隱私性。近日,Google為了擴大計畫成效,對Google Play安全獎勵計劃進行重大改版,推出全新開發人員資料保護獎勵計畫。
Google Play安全獎勵方案,是Google和抓蟲活動平台HeckerOne及幾家大型app開發商合辦,目標在於藉此找出Google Play上APP的漏洞,從等級最嚴重的遠端程式碼執行,到竊取用戶個資或憑證、中間人攻擊、導向釣魚網站等中低風險漏洞。而此次更新的抓漏獎勵大賽規範,則包含了Play Store上,下載次數超過1億次的APP。Google希望若有研究人員找到非獎勵類型的漏洞,還是請先直接通報APP開發商,但假設開發商並沒有回覆,而且該款APP是安裝下載數超過1億、頗具知名度的APP,就能使用這個方案來通報漏洞。但是Google會先通報該廠商,等到對方確認漏洞而且修補後,才會通知研究人員上傳漏洞報告參加這個方案。
Google對外表示,不保證廠商依定會有所回應,或漏洞研究報告一定會公布,若廠商沒有回應或不修補漏洞,Google將照平常處理模式將該APP從PlayStore下架。另外,如果該APP廠商自己也參與了抓漏獎勵方案,在這各廠商的答應下,研究人員也能雙軌參加,所以最好的狀況就是能拿到2份獎將。而加入Google這個抓漏方案的知名第三方APP,還包含Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。對於研究人員上船的漏洞報告,只要經過審查符合這個方案訂定的漏洞類型,Google將會提供2萬至5百元美金不等的獎勵。
事實上,Play Store熱門APP有漏洞的狀況不斷出現,近日才有下載次數超過1億的知名掃描APP Android版的CamScanner,廣告函式庫中藏有惡意模組,最後遭Google緊急移除。Google表示,他們很期待這個計畫持續進行,並藉此發現更多資安漏洞,他們也非常感謝社群為了提升平台與生態安全做出貢獻。
參考來源:Engadget、TechRadar
照片來源:play.google
更多匯流新聞網報導:
坦承麥克風有瑕疵!Google願意賠償Pixel受災用戶 每個人500美金
用戶破10億!Google旗下最火紅的巨星「Google Photos」 高層說受歡迎關鍵是…
【匯流筆陣】
CNEWS歡迎各界投書,來稿請寄至cnewscom2016@gmail.com,並請附上真實姓名、聯絡方式與職業身份簡介。
CNEWS匯流新聞網:https://cnews.com.tw
【文章轉載請註明出處】
