谷歌增加了游戲商店應(yīng)用程序的bug獎勵

在谷歌揭露其錯誤賞金獎勵增加后，安全研究人員可能會進入一個主要的發(fā)薪日。

該公司希望鼓勵公司通過將其GooglePlay安全獎勵計劃(GPSRP)的范圍擴大到其商店的所有應(yīng)用程序，以幫助公司在PlayStore上查找錯誤。

這家搜索巨頭還與HackerOne合作推出了一個名為“開發(fā)者數(shù)據(jù)保護獎勵計劃”(DDPRP)的新項目，旨在發(fā)現(xiàn)Android應(yīng)用程序、OAuth項目和Chrome擴展程序中的數(shù)據(jù)濫用情況。

自2010年推出Bug賞金計劃以來，谷歌已經(jīng)向安全研究人員支付了超過15萬美元的薪酬，而GPRSRP已經(jīng)支付了超過256萬美元的獎金。通過將流行的Android應(yīng)用程序添加到程序中，公司正在使他們有資格獲得獎勵，而不管應(yīng)用程序的開發(fā)者是否擁有自己的漏洞公開或Bug賞金計劃。

作為支付漏洞獎金的交換條件，谷歌將利用安全研究人員收集的漏洞數(shù)據(jù)，幫助創(chuàng)建自動檢查，掃描Play Store中的所有應(yīng)用程序，以發(fā)現(xiàn)類似的漏洞。其應(yīng)用程序包含bug的開發(fā)人員將通過游戲控制臺和應(yīng)用程序安全改進(ASI)程序向他們提供有關(guān)該漏洞以及如何修復(fù)該漏洞的信息。早在2月份，谷歌就曾透露，ASI已經(jīng)幫助300多萬開發(fā)者修復(fù)了超過100萬的GooglePlay應(yīng)用程序。

除了擴展現(xiàn)有的Android bug獎勵程序外，谷歌還推出了DDPRP，以識別和緩解Android應(yīng)用程序、OAuth項目和Chrome擴展中的數(shù)據(jù)濫用問題。這個程序不會發(fā)現(xiàn)漏洞，而是獎勵那些發(fā)現(xiàn)和報告違反GooglePlay、GoogleAPI或ChromeWebStore擴展程序策略的應(yīng)用程序的安全研究人員。

能夠找到能夠被驗證的數(shù)據(jù)濫用的證據(jù)的人可以得到支付。在Hakerone網(wǎng)站上的DDPRP頁面上，Google強調(diào)了訪問用戶聯(lián)系人的應(yīng)用程序，并不將此數(shù)據(jù)視為個人或敏感數(shù)據(jù)以及使用聯(lián)系人數(shù)據(jù)違反其權(quán)限策略的應(yīng)用程序，而無需用戶對與原始應(yīng)用程序無關(guān)的其他服務(wù)的權(quán)限。

該公司沒有提供最大的獎勵金額，但根據(jù)其影響，一份單一的報告可以讓一名安全研究員獲得50萬美元的獎金。

濫用用戶數(shù)據(jù)的Android應(yīng)用程序和Chrome擴展將從各自的商店中刪除，如果開發(fā)人員也被發(fā)現(xiàn)濫用對Gmail限制范圍的訪問，他們的API訪問將被刪除。