谷歌為Play Store內所有APP買單，發現漏洞就送1000美元

據不完全統計，Google Play Store中有大概270萬個APP，比任何一家應用商店的數量都要大。但不幸的是，林子大了什麼鳥都有，有些惡意軟體就趁機入駐進了Google Play Store，給安卓用戶造成了很大困擾。

谷歌一直對此事很憂愁，終於在今天決定利用廣大白帽子的力量幫助他們一起維護谷歌應用商店的安全。它發布了一項漏洞獎勵計劃，鼓勵白帽子們在谷歌商店中尋找含有漏洞的APP。這項計劃的名稱為「Google Play Security Reward」，白帽子們可以直接與軟體開發者共事，發現漏洞並及時修復，然後谷歌就會為白帽子支付1000美元的獎勵。

谷歌對這項計劃的解釋為：

這項計劃的目的就是進一步提升軟體的安全，對軟體開發者、安卓用戶，乃至整個Google Play生態系統都有益。

活動規則

與此同時，谷歌還和漏洞平台HackerOne合作，為這項計劃做後端支持，比如提供漏洞報告，邀請白帽子和安全研究員參與項目。

凡是參與此項計劃的白帽子，必須將他們發現的漏洞共享給軟體開發者。如果漏洞被修復了，白帽子們還需要將他們發現的漏洞提交給HackerOne。漏洞修復後，谷歌會按照約定為白帽子們支付1000美元的獎金。

HackerOne表示：

所有的漏洞必須首先提交給軟體開發者，開發者修復漏洞之後才能再將其提交給Google Play Security Reward項目組。目前，「Google Play Security Reward」計劃僅收錄遠程代碼執行漏洞，在提交漏洞的同時還要提供POC，並且受影響的設備系統必須為Android 4.4或者更高版本。

截至本文發表時，加入「Google Play Security Reward」計劃的安卓軟體共有6家，他們分別來自Alibaba、Snapchat、Line、Headspace、http://Mail.ru、Tinder。

本文翻譯自：https://thehackernews.com/2017/10/android-bug-bounty.html ，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8112.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：