网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【鼎源资讯】Google Play Store启动漏洞赏金计划保护Android应用

2017-10-24 09:37 推荐: 浏览: 77 views 字号:

摘要: Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。 这个项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,...

Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。

这个项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,赏金会达到1000美元。

“项目的目标是进一步提升应用的安全性,从而让开发者、用户和整个Google Play生态受益。”Google在博文中提到。

这次Google同样是跟漏洞赏金平台HackerOne合作,白帽子和研究人员需要提交漏洞到HackerOne平台。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后,黑客需要把漏洞报告提交到HackerOne。

之后Google就会根据漏洞的严重程度发放1000美元的赏金,这些评判标准在将来也可能会做一些修改。

“现在这个项目的范围只有RCE漏洞和相应的能够在Android 4.4之后的设备运行的PoC。”

Google Play Store启动漏洞赏金计划保护Android应用

目前加入Google Play Store的漏洞赏金计划的有:阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

Google Play Store成病毒传播平台

事实上Play Store一直是恶意应用泛滥,黑客往往能够绕过Play Store的安全审核机制感染大量Android用户。

今年4月,卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同,这款恶意软件不仅会将自己的模块植入目标系统中,而且它还会将恶意代码注入至系统运行时库。

今年6月,Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。

上个月,Google还从Play Store下架了近300款涉嫌DDoS的应用,这些应用甚至构建了一个名为 WireX 的僵尸网络。

相比之下,苹果的App Store因其严格的审查机制,在安全性上就比较完善。Google Chrome浏览器的Web Store同样也因为它较为宽松的审查机制被不少黑客利用。今年有大量Chrome插件的开发者遭到钓鱼邮件攻击,黑客在获取了开发者的密码后以他们的名义发布新版本的插件,这些插件中往往会植入一些恶意软件,从而劫持了Chrome插件。

Google Play Store启动漏洞赏金计划保护Android应用

而流行Chrome插件User-Agent Switcher也被发现是木马程序,其用户数超过45万人。本月, AdBlock Plus也被爆出在Chrome商店被冒充上架,成功骗得超过 37,000 人下载使用。

可惜的是现在的Play Store漏洞赏金计划并不支持Play Store上那些假冒的、含有广告的、恶意软件,因此这个计划还是不能给广大Android用户带来保障。(来源:freebuf)


北京鼎源科技有限公司(www.devsource.com.cn)是国内领先的移动信息安全公司,专注于移动应用安全领域,为各级党政监管单位、企业和开发者提供移动应用安全咨询、APP安全检测、APP安全加固、APP威胁感知、安全服务和“端-管-云”一体化网络安全整体解决方案。

联系站长租广告位!

中国首席信息安全官


关闭


关闭