人人都能當獎金獵人,Google請你幫安卓App抓漏洞,獎金最高1,000美元
人人都能當獎金獵人,Google請你幫安卓App抓漏洞,獎金最高1,000美元通報者找到App漏洞後,透過漏洞揭露流程通報該app開發商,90天完成修補,就可由開發商申請獎金給找到漏洞者,Google還會額外發獎勵。
https://upload.cc/i/JYgWaR.png
為了加強Google Play的app安全品質,Google將祭出獎金廣邀安全研究人員幫忙從特定Android app中找出並修補漏洞。
Google和抓蟲賞金方案平台HackerOne合作共同推出Google Play安全獎勵方案(Google Play Security Reward)。本方案要求參加者幫忙找出Google Play上app的漏洞,並直接以官方漏洞揭露流程通報該app的開發商。在開發商和參加者合作下,在90天內將漏洞修補完成者,由開發商向本方案提出申請,符合本方案資格領域者即可領取1,000美元的獎金。
此外,Google的Android安全部門還會額外頒發獎勵給得獎者,以感謝他們提升Google Play生態體系的安全性。
但本方案特別限制找出的漏洞必須是能在Android 4.4版本以上的裝置作用的遠端程式碼執行(Remote Code Execution, RCE)漏洞,即不用告知使用者或取得許可即可執行的漏洞,像是可下載任意程式碼、原生或JavaScript,使攻擊者取得所有控制權;可操控UI以執行交易的漏洞,如冒充使用者身份以行動銀行app轉帳,或開啟webview而導致網釣攻擊的漏洞等。同時,如果漏洞發生在不同app共謀(collusion)或不同app間有相依性之處,即不在此方案涵蓋範圍,也無法獲得獎金。
今天公佈本方案僅適用Google Play上Google自己開發的Android app,以及8家廠商的13個app,外部廠商名單包括阿里巴巴、Dropbox、Dulingo、Headspace、Line、Mail.ru、Snapchat及Tinder。Google 表示等方案規劃更完整,細節更確定後,會再擴及其他開發商。Google自有app漏洞通報管道分別為Google弱點獎勵方案,以及Chrome獎勵方案。
本項方案希望能以人類之力補強Google Play的現有自動掃瞄技術,確保Google Play app的安全性。光是在今年,就接連傳出多起Google Play app遭惡意軟體滲透,或是惡意程式逃過安全掃瞄卻被安全公司爆料的事。今天賽門鐵克才公佈發現Google Play上8款app感染惡意程式,可讓受害裝置變成殭屍電腦。
可惜大陆安卓手机用google软件比较麻烦 {:7_237:}可惜完全唔识搞呢D 似乎有D難度先搞得到呢個安裝獎勵啦 李奥 发表于 2017-10-23 13:00
可惜完全唔识搞呢D
唔使识, 安裝後, 睇睇有什麼不妥的地方 dkmi 发表于 2017-10-23 13:04
似乎有D難度先搞得到呢個安裝獎勵啦
成萬獎金不是容易的 我自认就无咁噶本事啦! 大陆人没机会啦 程序员可以赚大钱 頭腦笨笨
這種機會只能給別人賺了:D