-
-
[翻译]google将对举报APP滥用数据的用户进行奖励
-
发表于:
2019-8-30 11:05
5500
-
[翻译]google将对举报APP滥用数据的用户进行奖励
在爆出滥用数据丑闻和在Play商店发现恶意APP后,谷歌扩展了bug赏金计划以增强安卓APP的和通过其平台分发的Chrome扩展的安全性。谷歌漏洞奖励计划的扩展主要包括以下两个重要声明。
首先,
谷歌创建了被称为“开发数据保护奖励”的计划(DDPRP),这个计划将奖励那些找到Android应用程序、
OAuth 和
Chrome扩展数据被滥用的“可验证和明确证据””的安全研究人员和黑客。其次,扩大Google Play安全奖励计划(GPSRP)APP的范围,包含来自Google Play商店的安装量超过1亿的所有Android应用,通过负责任的披露帮助受影响的应用开发者修复漏洞。
查找滥用数据的Android和Chrome应用就可获得奖励
数据滥用赏金计划旨在避免像剑桥分析公司(Cambridge Analytica)这样的丑闻,脸书因为未能识别用户数据被意外使用或出售或未经用户同意非法重新利用的而被罚款50亿美元。今天,Google在其发布的博客文章中表示:“如果某一款APP或者Chrome扩展程序涉及数据滥用,那么该应用或扩展程序将相应地从Google Play或Google Chrome网上应用商店中删除”。“如果APP开发者滥用对Gmail限制范围的访问权限,则其API访问权限也将被删除"。谷歌尚未公布DDPRP计划的奖励表,但明确表示
根据影响单一报告可以获得高达50,000美元的赏金。此计划将适用于所有下载量超过1亿的APP。另一方面,最初于2017年推出的GPSRP计划直到今天仅限于报告Google Play商店中流行的Android应用程序中的漏洞。
根据最新声明,谷歌将与数十万个Android应用程序的开发人员合作,这些程序每个至少有1亿次下载,谷歌将帮助他们接收漏洞报告以及引导开发者如何通过Play控制台修补漏洞。谷歌表示““这些应用程序现在有资格获得奖励,即使开发人员没有自己的漏洞披露或漏洞赏金计划。“如果开发者已经拥有自己的计划,研究人员可以在Google的奖励之上再从他们那里收取奖励。”
作为Google的应用安全改进(ASI)计划的一部分,此计划已帮助超过300,000名开发人员在Google Play商店中修复了超过1,000,000个应用。这两项措施被寄予厚望,允许Google阻止恶意Android应用和Chrome扩展程序滥用其用户数据,以及加强通过Play商店分发的应用程序的安全性。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
