ADVERTISEMENT
Google瞭解解開放平台和生態系統的優勢,認為最好的創意時常來自外部,因此在經營Android生態系統的過程始終秉持較為開放的態度,並透過漏洞獎勵計劃鼓勵社群成員,持續協助改進產品的安全性和隱私性。Google為了擴大計劃成效,對Google Play安全獎勵計劃作出重大改變,並推出新的開發人員資料保護獎勵計劃。
你的Bug,Google埋單
為了找出更多潛藏於Android App內的Bug,Google正將Google Play安全獎勵計劃(Google Play Security Reward Program,GPSRP)的涵蓋範圍擴大至超過1億款App,並藉由負責任揭露的方式,將Bug通報給App開發者進行修正。透過擴大安全獎勵計劃,更多資安研究人員能夠更有效地回報漏洞與Bug,並協助開發者識別並修正App中的漏洞,發揮提升生態系統安全性的效果。
如果App開發者原本就有準備揭露漏洞或Bug的獎金計劃,Google會將提供原本的獎金整合至Google Play安全獎勵計劃,方便通報者領取獎勵,但如果App開發者沒有提供自己的獎金計劃,Google則會提供對應獎金。
與HackerOne攜手合作防止資料濫用
除了上面提到的計劃之外,Google也與Google聯手推出開發人員資料保護獎勵計劃(Developer Data Protection Reward Program,DDPRP),以期發揮辨識並防止Android App、 OAuth專案、Chrome擴充功能(即外掛程式)面臨資料濫用的威脅。
這個計劃主要的目標與Google其他漏洞獎勵計劃類似,在於獎勵提出明確且可驗證的資料濫用證據的舉發者,然而特別是,這個計劃是針對保護使用者的個人資料,所以檢舉對象為不當使用、出售使用者個人資料的情況,或在未經使用者同意的前提下非法重新利用資料。
舉例來說,如果發現App或Chrome擴充功能有資料濫用行為,Google會將App或擴充功能從Google Play或Google Chrome線上商店移除,如果是濫用Gmail相關的資料,則會移除該API對應的存取權限。
雖然Google並沒有在開發人員資料保護獎勵計劃官方網站列出獎金列表,但有提到平均獎金約為美金500元(約合新台幣15,830元),而根據官方部落格提供的資訊,最高獎金可達美金50,000元(約合新台幣1,583,000元)。
Google表示他們期待計劃持續進行,並發現更多資安漏洞,也感謝社群為提升平台和生態系統安全做出貢獻,並祝大家「抓蟲」快樂!
別人開發的 App,由 Google 提供漏洞回報獎金。
這樣會讓 App 開發者有「必須以更負責任的態度,小心謹慎地撰寫 App」的想法嗎?
如果某 App 有安全性漏洞,除了發給舉報者獎金外,
根據該漏洞危害程度,處以相應的 Google Play 下架天數,會不會更有效?
謎之音:
Google 要如何確認漏洞是否開發者刻意留下?