谷歌将安全奖励扩展到更多Android应用程序 推出针对数据滥用的漏洞赏金计划

谷歌自2010年推出其错误奖励计划以来已经向安全研究人员支付了超过1500万美元的费用,今天增加了其Google Play安全奖励计划(GPSRP)的范围。现在,安全研究人员将获得奖励,因为他们可以通过1亿或更多安装来查找Google Play中所有应用的漏洞。与此同时,该公司与HackerOne合作推出了开发人员数据保护奖励计划(DDPRP)。该计划适用于Android应用,OAuth项目和Chrome扩展程序中的数据滥用。

Bug赏金计划是对现有内部安全计划的有力补充。它们有助于激励个人和黑客团体不仅找到缺陷,而且还要正确地披露它们,而不是恶意地使用它们或者将它们出售给那些将会出现的。与支付严重的安全措施相比,用奖金奖励安全研究人员花费花生。今天的更新发布之前,谷歌上个月增加了对Chrome,Chrome操作系统和Google Play进行攻击的奖励。

Google Play安全奖励计划

到目前为止,GPSRP已经支付了超过265,000美元的赏金。添加更多热门应用程序使他们有资格获得奖励,即使他们的开发人员没有自己的漏洞披露或bug赏金计划。在这些情况下,安全研究人员会向Google披露已识别的漏洞,并将其传递给受影响的应用开发者。因此,安全研究人员可以帮助数百个组织识别和修复其应用程序中的漏洞。如果开发人员已经拥有自己的程序,研究人员可以从他们和 Google 收集奖励。

这不是一条单行道。Google还使用此漏洞数据创建自动检查,扫描所有Google Play应用以查找类似漏洞。受影响的应用开发者会通过Play控制台收到通知。应用安全改进(ASI)计划为他们提供有关漏洞及其修复方法的信息。今年2月,谷歌透露,ASI已帮助超过30万名开发人员在Google Play上修复超过1,000,000个应用。

开发人员数据保护奖励计划

DDPRP是一个新的错误赏金计划,用于识别和减轻Android应用,OAuth项目和Chrome扩展程序中的数据滥用问题。目标是识别报告违反Google Play,Google API或Google Chrome网上应用店扩展计划政策的应用的安全研究人员。

如果您可以提供可验证且明确的数据滥用证据,您可以获得报酬。特别是,谷歌对“用户数据被意外使用或出售,或未经用户同意以非法方式重新利用”的情况感兴趣。谷歌没有提供最高奖励金额,但表示“取决于影响,单一报告的净额可能高达50,000美元。“

Android应用和包含数据滥用行为的Chrome扩展程序将从Google Play和Chrome网上应用店中删除。如果发现开发人员滥用对Gmail限制范围的访问权限,则会删除其API访问权限。

栏目推荐