Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。
这个项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,赏金会达到1000美元。
“项目的目标是进一步提升应用的安全性,从而让开发者、用户和整个Google Play生态受益。”Google在博文中提到。
这次Google同样是跟漏洞赏金平台HackerOne合作,白帽子和研究人员需要提交漏洞到HackerOne平台。
白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后,黑客需要把漏洞报告提交到HackerOne。
之后Google就会根据漏洞的严重程度发放1000美元的赏金,这些评判标准在将来也可能会做一些修改。
“现在这个项目的范围只有RCE漏洞和相应的能够在Android 4.4之后的设备运行的PoC。”
目前加入Google Play Store的漏洞赏金计划的有:阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。
Google Play Store成病毒传播平台
事实上Play Store一直是恶意应用泛滥,黑客往往能够绕过Play Store的安全审核机制感染大量Android用户。
今年4月,卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同,这款恶意软件不仅会将自己的模块植入目标系统中,而且它还会将恶意代码注入至系统运行时库。
今年6月,Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。
上个月,Google还从Play Store下架了近300款涉嫌DDoS的应用,这些应用甚至构建了一个名为 WireX 的僵尸网络。
相比之下,苹果的App Store因其严格的审查机制,在安全性上就比较完善。Google Chrome浏览器的Web Store同样也因为它较为宽松的审查机制被不少黑客利用。今年有大量Chrome插件的开发者遭到钓鱼邮件攻击,黑客在获取了开发者的密码后以他们的名义发布新版本的插件,这些插件中往往会植入一些恶意软件,从而劫持了Chrome插件。
而流行Chrome插件User-Agent Switcher也被发现是木马程序,其用户数超过45万人。本月, AdBlock Plus也被爆出在Chrome商店被冒充上架,成功骗得超过 37,000 人下载使用。
可惜的是现在的Play Store漏洞赏金计划并不支持Play Store上那些假冒的、含有广告的、恶意软件,因此这个计划还是不能给广大Android用户带来保障。(来源:freebuf)
北京鼎源科技有限公司(www.devsource.com.cn)是国内领先的移动信息安全公司,专注于移动应用安全领域,为各级党政监管单位、企业和开发者提供移动应用安全咨询、APP安全检测、APP安全加固、APP威胁感知、安全服务和“端-管-云”一体化网络安全整体解决方案。
