Google終于發(fā)布了Google Play Store的漏洞賞金計(jì)劃，安全人員可以尋找或者報(bào)告Android應(yīng)用中存在的漏洞。

這個(gè)項(xiàng)目的名稱為 “Google Play安全獎(jiǎng)金”，賞金會(huì)發(fā)放給那些直接與Android開發(fā)者合作找出并修復(fù)漏洞的安全研究人員，賞金會(huì)達(dá)到1000美元。

“項(xiàng)目的目標(biāo)是進(jìn)一步提升應(yīng)用的安全性，從而讓開發(fā)者、用戶和整個(gè)Google Play生態(tài)受益。”Google在博文中提到。

這次Google同樣是跟漏洞賞金平臺(tái)HackerOne合作，白帽子和研究人員需要提交漏洞到HackerOne平臺(tái)。

白帽子首先需要把發(fā)現(xiàn)的漏洞直接匯報(bào)給應(yīng)用開發(fā)者。漏洞修復(fù)后，黑客需要把漏洞報(bào)告提交到HackerOne。

之后Google就會(huì)根據(jù)漏洞的嚴(yán)重程度發(fā)放1000美元的賞金，這些評(píng)判標(biāo)準(zhǔn)在將來也可能會(huì)做一些修改。

“現(xiàn)在這個(gè)項(xiàng)目的范圍只有RCE漏洞和相應(yīng)的能夠在Android 4.4之后的設(shè)備運(yùn)行的PoC。”

目前加入Google Play Store的漏洞賞金計(jì)劃的有：阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

Google Play Store成病毒傳播平臺(tái)

事實(shí)上Play Store一直是惡意應(yīng)用泛濫，黑客往往能夠繞過Play Store的安全審核機(jī)制感染大量Android用戶。

今年4月，卡巴斯基發(fā)現(xiàn)一款新型惡意軟件通過Google Play應(yīng)用商店進(jìn)行傳播。與其他root型惡意軟件不同，這款惡意軟件不僅會(huì)將自己的模塊植入目標(biāo)系統(tǒng)中，而且它還會(huì)將惡意代碼注入至系統(tǒng)運(yùn)行時(shí)庫(kù)。

今年6月，Check Point的安全研究專家在Google Play中發(fā)現(xiàn)了一種大規(guī)模惡意軟件活動(dòng)。這款惡意軟件名叫“Judy”，這是一款自動(dòng)點(diǎn)擊型惡意軟件，目前已經(jīng)在Google Play上發(fā)現(xiàn)有41款A(yù)pp感染了這種惡意軟件。

上個(gè)月，Google還從Play Store下架了近300款涉嫌DDoS的應(yīng)用，這些應(yīng)用甚至構(gòu)建了一個(gè)名為 WireX 的僵尸網(wǎng)絡(luò)。

相比之下，蘋果的App Store因其嚴(yán)格的審查機(jī)制，在安全性上就比較完善。Google Chrome瀏覽器的Web Store同樣也因?yàn)樗^為寬松的審查機(jī)制被不少黑客利用。今年有大量Chrome插件的開發(fā)者遭到釣魚郵件攻擊，黑客在獲取了開發(fā)者的密碼后以他們的名義發(fā)布新版本的插件，這些插件中往往會(huì)植入一些惡意軟件，從而劫持了Chrome插件。

而流行Chrome插件User-Agent Switcher也被發(fā)現(xiàn)是木馬程序，其用戶數(shù)超過45萬人。本月， AdBlock Plus也被爆出在Chrome商店被冒充上架，成功騙得超過 37,000 人下載使用。

可惜的是現(xiàn)在的Play Store漏洞賞金計(jì)劃并不支持Play Store上那些假冒的、含有廣告的、惡意軟件，因此這個(gè)計(jì)劃還是不能給廣大Android用戶帶來保障。

想要挖洞練手的同學(xué)可以訪問HackerOne