人人都能當獎金獵人,Google請你幫安卓App抓漏洞,獎金最高1,000美元

人人都能當獎金獵人,Google請你幫安卓App抓漏洞,獎金最高1,000美元 通報者找到App漏洞後,透過漏洞揭露流程通報該app開發商,90天完成修補,就可由開發商申請獎金給找到漏洞者,Google還會額外發獎勵。 文/林妍溱 | 2017-10-20發表 為了加強Google Play的app安全品質,Google將祭出獎金廣邀安全研究人員幫忙從特定Android app中找出並修補漏洞。Google和抓蟲賞金方案平台HackerOne合作共同推出Google Play安全獎勵方案(Google Play Security Reward)。本方案要求參加者幫忙找出Google Play上app的漏洞,並直接以官方漏洞揭露流程通報該app的開發商。在開發商和參加者合作下,在90天內將漏洞修補完成者,由開發商向本方案提出申請,符合本方案資格領域者即可領取1,000美元的獎金。此外,Google的Android安全部門還會額外頒發獎勵給得獎者,以感謝他們提升Google Play生態體系的安全性。但本方案特別限制找出的漏洞必須是能在Android 4.4版本以上的裝置作用的遠端程式碼執行(Remote Code Execution, RCE)漏洞,即不用告知使用者或取得許可即可執行的漏洞,像是可下載任意程式碼、原生或JavaScript,使攻擊者取得所有控制權;可操控UI以執行交易的漏洞,如冒充使用者身份以行動銀行app轉帳,或開啟webview而導致網釣攻擊的漏洞等。同時,如果漏洞發生在不同app共謀(collusion)或不同app間有相依性之處,即不在此方案涵蓋範圍,也無法獲得獎金。今天公佈本方案僅適用Google Play上Google自己開發的Android app,以及8家廠商的13個app,外部廠商名單包括阿里巴巴、Dropbox、Dulingo、Headspace、Line、Mail.ru、Snapchat及Tinder。Google 表示等方案規劃更完整,細節更確定後,會再擴及其他開發商。Google自有app漏洞通報管道分別為Google弱點獎勵方案,以及Chrome獎勵方案。本項方案希望能以人類之力補強Google Play的現有自動掃瞄技術,確保Google Play app的安全性。光是在今年,就接連傳出多起Google Play app遭惡意軟體滲透,或是惡意程式逃過安全掃瞄卻被安全公司爆料的事。今天賽門鐵克才公佈發現Google Play上8款app感染惡意程式,可讓受害裝置變成殭屍電腦。 iThome Security

更多訊息更多資料都在這裡喔!~膠股力~智勝王~PPLS~膠骨力~蜂王乳~蜂王漿~健康食品~蝦青素~南極寶~蝦紅素~芙婷寶~血栓溶解酵素~蚯蚓粉~保健食品~地龍酵素~力雪達~青春元素~地龍粉~磷蝦油

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *