其他
谷歌推出应用商店安全奖励计划 仅接受RCE漏洞报告
作者:Catalin Cimpanu
谷歌为应用商店中的热门app推出一项漏洞奖励计划“应用商店安全奖励计划 (Play Security RewardProgram)”。奖励将会通过HackerOne平台发放,且并非针对谷歌自己的安卓app。
如果安全研究人员能从由其他人开发的app中找出漏洞,那么谷歌会给予奖赏。不过该计划的奖励范围仅包含流行的app。谷歌而非流行app的开发人员会支付奖金。谷歌表示最高奖金为1000美元。
HackerOne推出的这项计划首批来自8位开发人员的13款app,即Alibaba、Dropbox、Dulingo、Headspace、Line、Mail.ru、Snapchat和Tinder。
虽然漏洞奖励仅颁发给数量有限的开发人员,但谷歌表示待敲定相关细节时,将会在未来涵盖更多的app和开发人员。
谷歌还表示从这些app中发现漏洞并通过“应用商店安全奖励计划”提交,会让所有app开发人员受益。
谷歌承诺将会扫描所有上传到官方应用商店中的app,以查找是否存在相同的漏洞,如发现则会免费告警其它app所有人。
谷歌指出,“这项计划的覆盖范围仅限RCE(远程代码执行)漏洞以及在安卓4.4及更高版本设备上运行的相应的POC。”
好消息是,研究人员不必绕过操作系统级别的沙箱保护措施来报告RCE漏洞。需要app碰撞的漏洞不在接受范围内。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。