谷歌增加了游戲商店應(yīng)用程序的bug獎(jiǎng)勵(lì)

在谷歌揭露其錯(cuò)誤賞金獎(jiǎng)勵(lì)增加后，安全研究人員可能會(huì)進(jìn)入一個(gè)主要的發(fā)薪日。

該公司希望鼓勵(lì)公司通過將其GooglePlay安全獎(jiǎng)勵(lì)計(jì)劃(GPSRP)的范圍擴(kuò)大到其商店的所有應(yīng)用程序，以幫助公司在PlayStore上查找錯(cuò)誤。

這家搜索巨頭還與HackerOne合作推出了一個(gè)名為“開發(fā)者數(shù)據(jù)保護(hù)獎(jiǎng)勵(lì)計(jì)劃”(DDPRP)的新項(xiàng)目，旨在發(fā)現(xiàn)Android應(yīng)用程序、OAuth項(xiàng)目和Chrome擴(kuò)展程序中的數(shù)據(jù)濫用情況。

自2010年推出Bug賞金計(jì)劃以來，谷歌已經(jīng)向安全研究人員支付了超過15萬美元的薪酬，而GPRSRP已經(jīng)支付了超過256萬美元的獎(jiǎng)金。通過將流行的Android應(yīng)用程序添加到程序中，公司正在使他們有資格獲得獎(jiǎng)勵(lì)，而不管應(yīng)用程序的開發(fā)者是否擁有自己的漏洞公開或Bug賞金計(jì)劃。

作為支付漏洞獎(jiǎng)金的交換條件，谷歌將利用安全研究人員收集的漏洞數(shù)據(jù)，幫助創(chuàng)建自動(dòng)檢查，掃描Play Store中的所有應(yīng)用程序，以發(fā)現(xiàn)類似的漏洞。其應(yīng)用程序包含bug的開發(fā)人員將通過游戲控制臺(tái)和應(yīng)用程序安全改進(jìn)(ASI)程序向他們提供有關(guān)該漏洞以及如何修復(fù)該漏洞的信息。早在2月份，谷歌就曾透露，ASI已經(jīng)幫助300多萬開發(fā)者修復(fù)了超過100萬的GooglePlay應(yīng)用程序。

除了擴(kuò)展現(xiàn)有的Android bug獎(jiǎng)勵(lì)程序外，谷歌還推出了DDPRP，以識(shí)別和緩解Android應(yīng)用程序、OAuth項(xiàng)目和Chrome擴(kuò)展中的數(shù)據(jù)濫用問題。這個(gè)程序不會(huì)發(fā)現(xiàn)漏洞，而是獎(jiǎng)勵(lì)那些發(fā)現(xiàn)和報(bào)告違反GooglePlay、GoogleAPI或ChromeWebStore擴(kuò)展程序策略的應(yīng)用程序的安全研究人員。

能夠找到能夠被驗(yàn)證的數(shù)據(jù)濫用的證據(jù)的人可以得到支付。在Hakerone網(wǎng)站上的DDPRP頁面上，Google強(qiáng)調(diào)了訪問用戶聯(lián)系人的應(yīng)用程序，并不將此數(shù)據(jù)視為個(gè)人或敏感數(shù)據(jù)以及使用聯(lián)系人數(shù)據(jù)違反其權(quán)限策略的應(yīng)用程序，而無需用戶對(duì)與原始應(yīng)用程序無關(guān)的其他服務(wù)的權(quán)限。

該公司沒有提供最大的獎(jiǎng)勵(lì)金額，但根據(jù)其影響，一份單一的報(bào)告可以讓一名安全研究員獲得50萬美元的獎(jiǎng)金。

濫用用戶數(shù)據(jù)的Android應(yīng)用程序和Chrome擴(kuò)展將從各自的商店中刪除，如果開發(fā)人員也被發(fā)現(xiàn)濫用對(duì)Gmail限制范圍的訪問，他們的API訪問將被刪除。