Google Play是全球最大的安卓应用市场,汇聚几百万款App,是安卓开发者的主阵地。作为一个大平台,Google Play中不断出现恶意软件,并且受到用户数据被滥用的困扰。2018年,Facebook发生数据泄露事件,则为谷歌敲响了警钟。如果不能阻止用户数据被滥用和恶意软件的出现,Google Play将受到极大冲击。因此,谷歌近日推出两大项目DDPRP和GPSRP,以求更好地保护用户数据和提升Google Play、Chrome扩展程序的安全性。
8 月 29 日,安卓开发者官方博客发文《Expanding bug bounties on Google Play》,博文提到:我们提供广泛的漏洞奖励计划,鼓励社区帮助我们改善每个用户的安全。谷歌正式宣布推出一项新的漏洞赏金计划,并对 Google Play 安全奖励计划(GPSRP)进行一些重大改变。
首先,新的漏洞赏金计划被称为“DDPRP”,即开发者数据保护奖励计划。据悉,DDPRP 是一项与 HackerOne 合作的赏金计划,旨在识别和缓解安卓应用、OAuth 项目和 Chrome 扩展中的数据滥用问题。该项目允许安全研究人员报告违反 Google Play、Google API 或 Google Chrome 扩展政策的应用。
博文表示,
“该计划旨在奖励任何能够提供可验证和明确的数据滥用证据的人,与谷歌其他漏洞奖励计划类似。特别是,该计划旨在确定用户数据被意外使用或出售的情况,或未经用户同意以非法方式利用的情况。如果识别出与应用或 Chrome 扩展相关的数据滥用行为,则该应用或扩展程序将被从 Google Play 或 Chrome 网上商店中删除。”
并且,谷歌方面宣称,一旦发现应用开发者滥用对 Gmail 限制范围的访问权限,则会删除其 API 访问权限。虽然目前还没出炉奖励详细列表,但是根据影响大小,单个报告最高会有 50000 美元的奖励。
Google Play 安全奖励计划范围扩大
2017 年,谷歌推出谷歌应用商店安全奖励计划(GPSRP)。这次,谷歌宣称扩大 GPSRP 的范围,包括 Google Play 中所有的安卓应用,尤其是那些下载量超过 1 亿或更多的 APP。
谷歌将会负责任地向受影响的应用开发者披露已经识别的漏洞。据悉,GPSRP 的漏洞数据可以帮助 Google 创建自动检查,来扫描 Google Play 中可用的所有应用程序,查找类似的漏洞。受影响的开发者,通过 ASI 计划的一部分 Play 控制台得到通知。而 ASI 计划可以提供有关漏洞及其修复方法的信息。
目前,ASI(应用安全改进)计划已经帮助 300000 名开发人员在 Google Play 上修复超过 1000000 个应用程序。
谷歌官方披露,仅在 2018 年,该计划就帮助 30000 名开发者修复超过 75000 个应用程序。在问题得到解决前,Google Play 不会将这些易受攻击的 75000 APP 分发给用户。迄今为止,GPSRP 已经支付超过了 265000 美元的奖金。
无论是 DDPRP 计划,还是扩大 GPSRP 范围,谷歌都希望借这两项举措,一方面阻止用户个人数据被滥用,另一方面消除恶意安卓应用和 Chrome 扩展程序,最终提升 Google Play 和 Chrome 扩展程序的安全性。
相关文章:
https://android-developers.googleblog.com/2019/08/expanding-bug-bounties-on-google-play.html
https://hackerone.com/ddp_reward_program
InfoQ编辑
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
评论