Google Play Store启动漏洞赏金计划保护Android应用

Google终于发布了Google Play Store的漏洞赏金计划，安全人员可以寻找或者报告Android应用中存在的漏洞。

这个项目的名称为 “Google Play安全奖金”，赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员，赏金会达到1000美元。

“项目的目标是进一步提升应用的安全性，从而让开发者、用户和整个Google Play生态受益。”Google在博文中提到。

这次Google同样是跟漏洞赏金平台HackerOne合作，白帽子和研究人员需要提交漏洞到HackerOne平台。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后，黑客需要把漏洞报告提交到HackerOne。

之后Google就会根据漏洞的严重程度发放1000美元的赏金，这些评判标准在将来也可能会做一些修改。

“现在这个项目的范围只有RCE漏洞和相应的能够在Android 4.4之后的设备运行的PoC。”

目前加入Google Play Store的漏洞赏金计划的有：阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

Google Play Store成病毒传播平台

事实上Play Store一直是恶意应用泛滥，黑客往往能够绕过Play Store的安全审核机制感染大量Android用户。

今年4月，卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同，这款恶意软件不仅会将自己的模块植入目标系统中，而且它还会将恶意代码注入至系统运行时库。

今年6月，Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”，这是一款自动点击型恶意软件，目前已经在Google Play上发现有41款App感染了这种恶意软件。

上个月，Google还从Play Store下架了近300款涉嫌DDoS的应用，这些应用甚至构建了一个名为 WireX 的僵尸网络。

相比之下，苹果的App Store因其严格的审查机制，在安全性上就比较完善。Google Chrome浏览器的Web Store同样也因为它较为宽松的审查机制被不少黑客利用。今年有大量Chrome插件的开发者遭到钓鱼邮件攻击，黑客在获取了开发者的密码后以他们的名义发布新版本的插件，这些插件中往往会植入一些恶意软件，从而劫持了Chrome插件。

而流行Chrome插件User-Agent Switcher也被发现是木马程序，其用户数超过45万人。本月， AdBlock Plus也被爆出在Chrome商店被冒充上架，成功骗得超过 37,000 人下载使用。

可惜的是现在的Play Store漏洞赏金计划并不支持Play Store上那些假冒的、含有广告的、恶意软件，因此这个计划还是不能给广大Android用户带来保障。

想要挖洞练手的同学可以访问HackerOne

*参考来源：THN，本文作者：Sphinx，转载请注明来自FreeBuf.COM