谷歌在其bug賞金計劃中添加了安裝量為+ 100米的所有Android應用程序

谷歌今天擴展了它的bug賞金計劃，包括Play商店中列出的任何Android應用程序，用戶安裝量超過1億。

這意味著從今天開始，安全研究人員可以向Google報告這些應用程序中的漏洞，Android操作系統(tǒng)制造商將為有效的錯誤報告提供金錢獎勵。

所有+ 100M ANDROID應用程序現(xiàn)在都是公平游戲

Play商店中列出的安裝量超過1億的所有Android應用都符合條件，應用開發(fā)者無需注冊或執(zhí)行任何其他操作。

Google將通過其在HackerOne平臺上的Google Play安全獎勵計劃(GPSRP)對所有錯誤報告進行分類，然后將漏洞轉(zhuǎn)發(fā)給應用開發(fā)者。如果應用無法解決錯誤，Google會將其從Play商店中刪除。

Facebook，微軟或Twitter等具有私人錯誤賞金計劃的應用程序開發(fā)人員不會被排除在GPSRP之外。

谷歌表示，應用程序開發(fā)人員可以通過GPSRP提交相同的錯誤報告，然后在這些公司的私人錯誤賞金計劃上提交，并獲得兩次同一錯誤的獎勵。

GOOGLE最近增加了APP BUG獎勵

谷歌于2017年推出了GPSRP。在程序的前三年，bug獵人可以獲得高達5,000美元的遠程代碼執(zhí)行錯誤，或者最多1000美元的錯誤導致私人數(shù)據(jù)被盜或訪問應用程序受保護的組件。

但是，盡管谷歌提出要支付非谷歌應用程序的漏洞，該計劃從未流行，因為安全研究人員傾向于轉(zhuǎn)向谷歌的其他bug賞金計劃。到目前為止，GPSRP僅向安全研究人員支付了超過265,000美元的獎金，這是谷歌通過其他錯誤賞金計劃支付的數(shù)百萬美元的一小部分。

上個月，為了提高參與計劃的參與度，谷歌將上述錯誤的支出增加到了RCE的20,000美元，另外兩個則增加了3,000美元。

此外，雖然最初只有一小部分熱門應用程序被包含在GPSRP中(由谷歌手動選擇)，從今天開始，已經(jīng)超過1億下載標記的任何Android應用程序或游戲都自動符合條件，這使得該公司的Play商店漏洞賞金程序比以前更具吸引力。

谷歌一直在重新利用ANDROID應用程序錯誤報告

此外，即使乍一看似乎Google正在為第三方應用程序中的錯誤修復付出代價，該公司表示有一個切實的好處和一種瘋狂的方法。

Android操作系統(tǒng)制造商表示，過去三年通過GPSRP收到的漏洞報告并未浪費。所有錯誤報告都已編目并包含在系統(tǒng)中，該系統(tǒng)會自動掃描其他Play商店應用程序以解決相同問題。

如果發(fā)現(xiàn)其他應用容易受到通過GPSRP報告的錯誤的攻擊，那么這些應用開發(fā)者會在其Google Play控制臺中收到警報，以解決問題或?qū)⑵鋺脧腜lay商店中移除。

這個名為App Security Improvement(ASI)的系統(tǒng)幫助Google獲益并最大化了GPSRP中安全研究人員的工作。

“在其生命周期中，ASI已幫助超過30萬名開發(fā)人員在Google Play上修復了超過1,000,000個應用程序，” Google表示。

“僅在2018年，該計劃幫助了超過30,000名開發(fā)人員修復了超過75,000個應用程序。下游效應意味著在問題得到解決之前，這些75,000個易受攻擊的應用程序不會分發(fā)給用戶。”

另外，就在今天，谷歌宣布它正在開設(shè)一個新的漏洞賞金計劃，安全研究人員可以報告Android應用程序，Chrome擴展程序和第三方應用程序的案例，這些應用程序可以訪問竊取或濫用Google用戶數(shù)據(jù)的Google API。這個bug賞金計劃的靈感來自于在Facebook和Instagram上運行的類似程序。