谷歌在其bug賞金計(jì)劃中添加了安裝量為+ 100米的所有Android應(yīng)用程序

谷歌今天擴(kuò)展了它的bug賞金計(jì)劃，包括Play商店中列出的任何Android應(yīng)用程序，用戶安裝量超過(guò)1億。

這意味著從今天開(kāi)始，安全研究人員可以向Google報(bào)告這些應(yīng)用程序中的漏洞，Android操作系統(tǒng)制造商將為有效的錯(cuò)誤報(bào)告提供金錢獎(jiǎng)勵(lì)。

所有+ 100M ANDROID應(yīng)用程序現(xiàn)在都是公平游戲

Play商店中列出的安裝量超過(guò)1億的所有Android應(yīng)用都符合條件，應(yīng)用開(kāi)發(fā)者無(wú)需注冊(cè)或執(zhí)行任何其他操作。

Google將通過(guò)其在HackerOne平臺(tái)上的Google Play安全獎(jiǎng)勵(lì)計(jì)劃(GPSRP)對(duì)所有錯(cuò)誤報(bào)告進(jìn)行分類，然后將漏洞轉(zhuǎn)發(fā)給應(yīng)用開(kāi)發(fā)者。如果應(yīng)用無(wú)法解決錯(cuò)誤，Google會(huì)將其從Play商店中刪除。

Facebook，微軟或Twitter等具有私人錯(cuò)誤賞金計(jì)劃的應(yīng)用程序開(kāi)發(fā)人員不會(huì)被排除在GPSRP之外。

谷歌表示，應(yīng)用程序開(kāi)發(fā)人員可以通過(guò)GPSRP提交相同的錯(cuò)誤報(bào)告，然后在這些公司的私人錯(cuò)誤賞金計(jì)劃上提交，并獲得兩次同一錯(cuò)誤的獎(jiǎng)勵(lì)。

GOOGLE最近增加了APP BUG獎(jiǎng)勵(lì)

谷歌于2017年推出了GPSRP。在程序的前三年，bug獵人可以獲得高達(dá)5,000美元的遠(yuǎn)程代碼執(zhí)行錯(cuò)誤，或者最多1000美元的錯(cuò)誤導(dǎo)致私人數(shù)據(jù)被盜或訪問(wèn)應(yīng)用程序受保護(hù)的組件。

但是，盡管谷歌提出要支付非谷歌應(yīng)用程序的漏洞，該計(jì)劃從未流行，因?yàn)榘踩芯咳藛T傾向于轉(zhuǎn)向谷歌的其他bug賞金計(jì)劃。到目前為止，GPSRP僅向安全研究人員支付了超過(guò)265,000美元的獎(jiǎng)金，這是谷歌通過(guò)其他錯(cuò)誤賞金計(jì)劃支付的數(shù)百萬(wàn)美元的一小部分。

上個(gè)月，為了提高參與計(jì)劃的參與度，谷歌將上述錯(cuò)誤的支出增加到了RCE的20,000美元，另外兩個(gè)則增加了3,000美元。

此外，雖然最初只有一小部分熱門應(yīng)用程序被包含在GPSRP中(由谷歌手動(dòng)選擇)，從今天開(kāi)始，已經(jīng)超過(guò)1億下載標(biāo)記的任何Android應(yīng)用程序或游戲都自動(dòng)符合條件，這使得該公司的Play商店漏洞賞金程序比以前更具吸引力。

谷歌一直在重新利用ANDROID應(yīng)用程序錯(cuò)誤報(bào)告

此外，即使乍一看似乎Google正在為第三方應(yīng)用程序中的錯(cuò)誤修復(fù)付出代價(jià)，該公司表示有一個(gè)切實(shí)的好處和一種瘋狂的方法。

Android操作系統(tǒng)制造商表示，過(guò)去三年通過(guò)GPSRP收到的漏洞報(bào)告并未浪費(fèi)。所有錯(cuò)誤報(bào)告都已編目并包含在系統(tǒng)中，該系統(tǒng)會(huì)自動(dòng)掃描其他Play商店應(yīng)用程序以解決相同問(wèn)題。

如果發(fā)現(xiàn)其他應(yīng)用容易受到通過(guò)GPSRP報(bào)告的錯(cuò)誤的攻擊，那么這些應(yīng)用開(kāi)發(fā)者會(huì)在其Google Play控制臺(tái)中收到警報(bào)，以解決問(wèn)題或?qū)⑵鋺?yīng)用從Play商店中移除。

這個(gè)名為App Security Improvement(ASI)的系統(tǒng)幫助Google獲益并最大化了GPSRP中安全研究人員的工作。

“在其生命周期中，ASI已幫助超過(guò)30萬(wàn)名開(kāi)發(fā)人員在Google Play上修復(fù)了超過(guò)1,000,000個(gè)應(yīng)用程序，” Google表示。

“僅在2018年，該計(jì)劃幫助了超過(guò)30,000名開(kāi)發(fā)人員修復(fù)了超過(guò)75,000個(gè)應(yīng)用程序。下游效應(yīng)意味著在問(wèn)題得到解決之前，這些75,000個(gè)易受攻擊的應(yīng)用程序不會(huì)分發(fā)給用戶。”

另外，就在今天，谷歌宣布它正在開(kāi)設(shè)一個(gè)新的漏洞賞金計(jì)劃，安全研究人員可以報(bào)告Android應(yīng)用程序，Chrome擴(kuò)展程序和第三方應(yīng)用程序的案例，這些應(yīng)用程序可以訪問(wèn)竊取或?yàn)E用Google用戶數(shù)據(jù)的Google API。這個(gè)bug賞金計(jì)劃的靈感來(lái)自于在Facebook和Instagram上運(yùn)行的類似程序。