91ce7121533d618fbeb1a6bdd07f3f92 Google瞭解解開放平台和生態系統的優勢,認為最好的創意時常來自外部,因此在經營Android生態系統的過程始終秉持較為開放的態度,並透過漏洞獎勵計劃鼓勵社群成員,持續協助改進產品的安全性和隱私性。Google為了擴大計劃成效,對Google Play安全獎勵計劃作出重大改變,並推出新的開發人員資料保護獎勵計劃。

你的Bug,Google埋單

為了找出更多潛藏於Android App內的Bug,Google正將Google Play安全獎勵計劃(Google Play Security Reward Program,GPSRP)的涵蓋範圍擴大至超過1億款App,並藉由負責任揭露的方式,將Bug通報給App開發者進行修正。透過擴大安全獎勵計劃,更多資安研究人員能夠更有效地回報漏洞與Bug,並協助開發者識別並修正App中的漏洞,發揮提升生態系統安全性的效果。

如果App開發者原本就有準備揭露漏洞或Bug的獎金計劃,Google會將提供原本的獎金整合至Google Play安全獎勵計劃,方便通報者領取獎勵,但如果App開發者沒有提供自己的獎金計劃,Google則會提供對應獎金。

Google希望擴大Google Play安全獎勵計劃找出更多潛藏於App的風險,並提升Android生態系統的安全性。(圖片來源:Google,標題圖亦同)

根據獎勵計劃網頁的說明,發現資安危害等級最高的RCE漏洞可以獲得美金20,000元(約合新台幣633,000元)獎金。

與HackerOne攜手合作防止資料濫用

除了上面提到的計劃之外,Google也與Google聯手推出開發人員資料保護獎勵計劃(Developer Data Protection Reward Program,DDPRP),以期發揮辨識並防止Android App、 OAuth專案、Chrome擴充功能(即外掛程式)面臨資料濫用的威脅。

這個計劃主要的目標與Google其他漏洞獎勵計劃類似,在於獎勵提出明確且可驗證的資料濫用證據的舉發者,然而特別是,這個計劃是針對保護使用者的個人資料,所以檢舉對象為不當使用、出售使用者個人資料的情況,或在未經使用者同意的前提下非法重新利用資料。

舉例來說,如果發現App或Chrome擴充功能有資料濫用行為,Google會將App或擴充功能從Google Play或Google Chrome線上商店移除,如果是濫用Gmail相關的資料,則會移除該API對應的存取權限。

雖然Google並沒有在開發人員資料保護獎勵計劃官方網站列出獎金列表,但有提到平均獎金約為美金500元(約合新台幣15,830元),而根據官方部落格提供的資訊,最高獎金可達美金50,000元(約合新台幣1,583,000元)。

官方網站並沒有提供「價目表」,但有提到平均獎金約為美金500元。

Google表示他們期待計劃持續進行,並發現更多資安漏洞,也感謝社群為提升平台和生態系統安全做出貢獻,並祝大家「抓蟲」快樂!

使用 Facebook 留言

訪客
1.  訪客 (發表於 2019年9月04日 20:33)
Google瞭解「解」開放平台和生態系統的優勢    解 >(贅字)

別人開發的 App,由 Google 提供漏洞回報獎金。
這樣會讓 App 開發者有「必須以更負責任的態度,小心謹慎地撰寫 App」的想法嗎?

如果某 App 有安全性漏洞,除了發給舉報者獎金外,
根據該漏洞危害程度,處以相應的 Google Play 下架天數,會不會更有效?

謎之音:
Google 要如何確認漏洞是否開發者刻意留下?

發表回應

謹慎發言,尊重彼此。按此展開留言規則