Google Play Store启动漏洞赏金计划保护Android应用

2017-10-24 250481人围观 资讯

Google Play Store启动漏洞赏金计划保护Android应用

Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。

这个项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,赏金会达到1000美元。

“项目的目标是进一步提升应用的安全性,从而让开发者、用户和整个Google Play生态受益。”Google在博文中提到。

这次Google同样是跟漏洞赏金平台HackerOne合作,白帽子和研究人员需要提交漏洞到HackerOne平台。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后,黑客需要把漏洞报告提交到HackerOne。

之后Google就会根据漏洞的严重程度发放1000美元的赏金,这些评判标准在将来也可能会做一些修改。

“现在这个项目的范围只有RCE漏洞和相应的能够在Android 4.4之后的设备运行的PoC。”

Google Play Store启动漏洞赏金计划保护Android应用

目前加入Google Play Store的漏洞赏金计划的有:阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

Google Play Store成病毒传播平台

事实上Play Store一直是恶意应用泛滥,黑客往往能够绕过Play Store的安全审核机制感染大量Android用户。

今年4月,卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同,这款恶意软件不仅会将自己的模块植入目标系统中,而且它还会将恶意代码注入至系统运行时库。

今年6月,Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。

上个月,Google还从Play Store下架了近300款涉嫌DDoS的应用,这些应用甚至构建了一个名为 WireX 的僵尸网络。

相比之下,苹果的App Store因其严格的审查机制,在安全性上就比较完善。Google Chrome浏览器的Web Store同样也因为它较为宽松的审查机制被不少黑客利用。今年有大量Chrome插件的开发者遭到钓鱼邮件攻击,黑客在获取了开发者的密码后以他们的名义发布新版本的插件,这些插件中往往会植入一些恶意软件,从而劫持了Chrome插件。

Google Play Store启动漏洞赏金计划保护Android应用

而流行Chrome插件User-Agent Switcher也被发现是木马程序,其用户数超过45万人。本月, AdBlock Plus也被爆出在Chrome商店被冒充上架,成功骗得超过 37,000 人下载使用。

可惜的是现在的Play Store漏洞赏金计划并不支持Play Store上那些假冒的、含有广告的、恶意软件,因此这个计划还是不能给广大Android用户带来保障。

想要挖洞练手的同学可以访问HackerOne

*参考来源:THN,本文作者:Sphinx,转载请注明来自FreeBuf.COM

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php