匯流新聞網

匯流新聞網記者紀沈廷／綜合報導

一直以來，Google都清楚明白開放平台與生態系統的優勢，也認為最好的創意有時候會來自外部，也因此在經營Android系統的過程中，Google也都秉持著較為開放的態度，再透過漏洞獎勵計畫來鼓勵社群成員，持續幫助改進產品的安全性與隱私性。近日，Google為了擴大計畫成效，對Google Play安全獎勵計劃進行重大改版，推出全新開發人員資料保護獎勵計畫。

Google Play安全獎勵方案，是Google和抓蟲活動平台HeckerOne及幾家大型app開發商合辦，目標在於藉此找出Google Play上APP的漏洞，從等級最嚴重的遠端程式碼執行，到竊取用戶個資或憑證、中間人攻擊、導向釣魚網站等中低風險漏洞。而此次更新的抓漏獎勵大賽規範，則包含了Play Store上，下載次數超過1億次的APP。Google希望若有研究人員找到非獎勵類型的漏洞，還是請先直接通報APP開發商，但假設開發商並沒有回覆，而且該款APP是安裝下載數超過1億、頗具知名度的APP，就能使用這個方案來通報漏洞。但是Google會先通報該廠商，等到對方確認漏洞而且修補後，才會通知研究人員上傳漏洞報告參加這個方案。

Google對外表示，不保證廠商依定會有所回應，或漏洞研究報告一定會公布，若廠商沒有回應或不修補漏洞，Google將照平常處理模式將該APP從PlayStore下架。另外，如果該APP廠商自己也參與了抓漏獎勵方案，在這各廠商的答應下，研究人員也能雙軌參加，所以最好的狀況就是能拿到2份獎將。而加入Google這個抓漏方案的知名第三方APP，還包含Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。對於研究人員上船的漏洞報告，只要經過審查符合這個方案訂定的漏洞類型，Google將會提供2萬至5百元美金不等的獎勵。

事實上，Play Store熱門APP有漏洞的狀況不斷出現，近日才有下載次數超過1億的知名掃描APP Android版的CamScanner，廣告函式庫中藏有惡意模組，最後遭Google緊急移除。Google表示，他們很期待這個計畫持續進行，並藉此發現更多資安漏洞，他們也非常感謝社群為了提升平台與生態安全做出貢獻。

參考來源：Engadget、TechRadar
照片來源：play.google

更多匯流新聞網報導：
坦承麥克風有瑕疵！Google願意賠償Pixel受災用戶 每個人500美金

用戶破10億！Google旗下最火紅的巨星「Google Photos」 高層說受歡迎關鍵是…

【匯流筆陣】
CNEWS歡迎各界投書，來稿請寄至[email protected]，並請附上真實姓名、聯絡方式與職業身份簡介。
CNEWS匯流新聞網：https://cnews.com.tw

【文章轉載請註明出處】