谷歌鼓励“人们举报APP滥用用户数据”,最高奖5万美金

2019 年 8 月 30 日

谷歌鼓励“人们举报APP滥用用户数据”,最高奖5万美金

Google Play是全球最大的安卓应用市场,汇聚几百万款App,是安卓开发者的主阵地。作为一个大平台,Google Play中不断出现恶意软件,并且受到用户数据被滥用的困扰。2018年,Facebook发生数据泄露事件,则为谷歌敲响了警钟。如果不能阻止用户数据被滥用和恶意软件的出现,Google Play将受到极大冲击。因此,谷歌近日推出两大项目DDPRP和GPSRP,以求更好地保护用户数据和提升Google Play、Chrome扩展程序的安全性。



8 月 29 日,安卓开发者官方博客发文《Expanding bug bounties on Google Play》,博文提到:我们提供广泛的漏洞奖励计划,鼓励社区帮助我们改善每个用户的安全。谷歌正式宣布推出一项新的漏洞赏金计划,并对 Google Play 安全奖励计划(GPSRP)进行一些重大改变。


首先,新的漏洞赏金计划被称为“DDPRP”,即开发者数据保护奖励计划。据悉,DDPRP 是一项与 HackerOne 合作的赏金计划,旨在识别和缓解安卓应用、OAuth 项目和 Chrome 扩展中的数据滥用问题。该项目允许安全研究人员报告违反 Google Play、Google API 或 Google Chrome 扩展政策的应用。


博文表示,


“该计划旨在奖励任何能够提供可验证和明确的数据滥用证据的人,与谷歌其他漏洞奖励计划类似。特别是,该计划旨在确定用户数据被意外使用或出售的情况,或未经用户同意以非法方式利用的情况。如果识别出与应用或 Chrome 扩展相关的数据滥用行为,则该应用或扩展程序将被从 Google Play 或 Chrome 网上商店中删除。”



并且,谷歌方面宣称,一旦发现应用开发者滥用对 Gmail 限制范围的访问权限,则会删除其 API 访问权限。虽然目前还没出炉奖励详细列表,但是根据影响大小,单个报告最高会有 50000 美元的奖励。 


Google Play 安全奖励计划范围扩大


2017 年,谷歌推出谷歌应用商店安全奖励计划(GPSRP)。这次,谷歌宣称扩大 GPSRP 的范围,包括 Google Play 中所有的安卓应用,尤其是那些下载量超过 1 亿或更多的 APP。


谷歌将会负责任地向受影响的应用开发者披露已经识别的漏洞。据悉,GPSRP 的漏洞数据可以帮助 Google 创建自动检查,来扫描 Google Play 中可用的所有应用程序,查找类似的漏洞。受影响的开发者,通过 ASI 计划的一部分 Play 控制台得到通知。而 ASI 计划可以提供有关漏洞及其修复方法的信息。



目前,ASI(应用安全改进)计划已经帮助 300000 名开发人员在 Google Play 上修复超过 1000000 个应用程序。


谷歌官方披露,仅在 2018 年,该计划就帮助 30000 名开发者修复超过 75000 个应用程序。在问题得到解决前,Google Play 不会将这些易受攻击的 75000 APP 分发给用户。迄今为止,GPSRP 已经支付超过了 265000 美元的奖金。


无论是 DDPRP 计划,还是扩大 GPSRP 范围,谷歌都希望借这两项举措,一方面阻止用户个人数据被滥用,另一方面消除恶意安卓应用和 Chrome 扩展程序,最终提升 Google Play 和 Chrome 扩展程序的安全性。


相关文章:


https://android-developers.googleblog.com/2019/08/expanding-bug-bounties-on-google-play.html


https://hackerone.com/ddp_reward_program


2019 年 8 月 30 日 11:5611471
用户头像
万佳 InfoQ编辑

发布了 446 篇内容, 共 160.8 次阅读, 收获喜欢 898 次。

关注

评论

发布
暂无评论
发现更多内容

解析软件系统稳定性的三大秘密

华为云开发者社区

开发者 软件开发 稳定性 系统 探索与实践

第六章总结

武鹏

华为云MVP朱有鹏:做IoT开发乐趣无穷,年轻开发者更要厚积薄发

华为云开发者社区

人工智能 物联网中台 物联网 IoT 华为云

联想ThinkSystem服务器,企业智能化考验下的极限应考

脑极体

“区块链+政务” 将如何前行,接下政务信息化改革接力棒还欠火候

CECBC区块链专委会

架构师训练营第六章作业

吴吴

未来已至,持续学习让我们更好的生存

七镜花园-董一凡

学习 生活

Week06

熊威

【架构师训练营】第六周总结

Mr.hou

极客大学架构师训练营

缓存穿透、缓存击穿、缓存雪崩,看这篇就够了

码农神说

缓存 缓存穿透 缓存击穿 缓存雪崩 数据缓存

总结

东哥

用AI的线团,解开金融行业的米拉诺斯迷宫

脑极体

给技术同学的建议:人人都该懂的埋点知识

易观大数据

聊聊服务灾备

老胡爱分享

分布式架构 服务设计

架构师训练营第六周命题作业

whiter

极客大学架构师训练营

架构学习第六周作业

乐天

继 GitHub、Twitter 后,Linux 内核废止 master/slave

神经星星

GitHub Linux 程序员 Linux Kenel 技术平权

架构师训练营第六周 - 总结

Larry

CAP原理之个人见解

潜默闻雨

架构师训练营第6周总结:数据库分片,Hbase和ZooKeeper

hifly

zookeeper Cassandra 极客大学架构师训练营 HBase

喜讯!众盟科技获ADMIC 2020金璨奖“年度汽车数字化营销供应商”殊荣

人称T客

第六周作业

晨光

详解 Flink 实时应用的确定性

Apache Flink

flink

第六章作业

武鹏

架构师训练营第六周学习总结

whiter

极客大学架构师训练营

CAP

东哥

CAP

分布式KV存储临时失效时序图

LEAF

分布式RDBMS和NoSQL

LEAF

聊聊Dubbo(一):为何选择

猿灯塔

第六周作业

Larry

极客大学架构师训练营0期第六周作业2

Nan Jiang

谷歌鼓励“人们举报APP滥用用户数据”,最高奖5万美金-InfoQ