Google Play是全球最大的安卓应用市场，汇聚几百万款App，是安卓开发者的主阵地。作为一个大平台，Google Play中不断出现恶意软件，并且受到用户数据被滥用的困扰。2018年，Facebook发生数据泄露事件，则为谷歌敲响了警钟。如果不能阻止用户数据被滥用和恶意软件的出现，Google Play将受到极大冲击。因此，谷歌近日推出两大项目DDPRP和GPSRP，以求更好地保护用户数据和提升Google Play、Chrome扩展程序的安全性。

8月29日，安卓开发者官方博客发文《Expanding bug bounties on Google Play》，博文提到：我们提供广泛的漏洞奖励计划，鼓励社区帮助我们改善每个用户的安全。谷歌正式宣布推出一项新的漏洞赏金计划，并对Google Play安全奖励计划（GPSRP）进行一些重大改变。

首先，新的漏洞赏金计划被称为“DDPRP”，即开发者数据保护奖励计划。据悉，DDPRP是一项与HackerOne合作的赏金计划，旨在识别和缓解安卓应用、OAuth项目和Chrome扩展中的数据滥用问题。该项目允许安全研究人员报告违反Google Play、Google API或Google Chrome扩展政策的应用。

博文表示，
“该计划旨在奖励任何能够提供可验证和明确的数据滥用证据的人，与谷歌其他漏洞奖励计划类似。特别是，该计划旨在确定用户数据被意外使用或出售的情况，或未经用户同意以非法方式利用的情况。如果识别出与应用或Chrome扩展相关的数据滥用行为，则该应用或扩展程序将被从Google Play或Chrome网上商店中删除。”

并且，谷歌方面宣称，一旦发现应用开发者滥用对Gmail限制范围的访问权限，则会删除其API访问权限。虽然目前还没出炉奖励详细列表，但是根据影响大小，单个报告最高会有50000美元的奖励。

Google Play安全奖励计划范围扩大

2017年，谷歌推出谷歌应用商店安全奖励计划（GPSRP）。这次，谷歌宣称扩大GPSRP的范围，包括Google Play中所有的安卓应用，尤其是那些下载量超过1亿或更多的APP。

谷歌将会负责任地向受影响的应用开发者披露已经识别的漏洞。据悉，GPSRP的漏洞数据可以帮助Google创建自动检查，来扫描Google Play中可用的所有应用程序，查找类似的漏洞。受影响的开发者，通过ASI计划的一部分Play控制台得到通知。而ASI计划可以提供有关漏洞及其修复方法的信息。

目前，ASI（应用安全改进）计划已经帮助300000名开发人员在Google Play上修复超过1000000个应用程序。

谷歌官方披露，仅在2018年，该计划就帮助30000名开发者修复超过75000个应用程序。在问题得到解决前，Google Play不会将这些易受攻击的75000 APP分发给用户。迄今为止，GPSRP已经支付超过了265000美元的奖金。

无论是DDPRP计划，还是扩大GPSRP范围，谷歌都希望借这两项举措，一方面阻止用户个人数据被滥用，另一方面消除恶意安卓应用和Chrome扩展程序，最终提升Google Play和Chrome扩展程序的安全性。

相关文章：
https://android-developers.googleblog.com/2019/08/expanding-bug-bounties-on-google-play.html
https://hackerone.com/ddp_reward_program

创作场景

谷歌鼓励“人们举报 APP 滥用用户数据”，最高奖 5 万美金