過去,谷歌(微博)、微軟、蘋果等公司都先后推出“有獎(jiǎng)捉蟲”計(jì)劃,為發(fā)現(xiàn)自家操作系統(tǒng)或軟件漏洞的安全人員頒發(fā)重獎(jiǎng),據(jù)外媒最新消息,谷歌近日推出一個(gè)全新的重獎(jiǎng)計(jì)劃,如果能夠發(fā)現(xiàn)市面上流行的安卓移動(dòng)軟件的問題,則能夠獲得谷歌1000美元的獎(jiǎng)勵(lì)。
據(jù)Engadget等美國科技媒體報(bào)道,雖然大型科技公司有實(shí)力推出有獎(jiǎng)捉蟲計(jì)劃,但是對于大量的第三方移動(dòng)軟件開發(fā)商而言,他們并無這一能力。不過谷歌愿意挺身而出,該公司日前正式發(fā)布了“谷歌Play安全獎(jiǎng)勵(lì)計(jì)劃”,相當(dāng)于將過去谷歌的有獎(jiǎng)捉蟲計(jì)劃,延伸到了第三方軟件上。
根據(jù)這一計(jì)劃,谷歌將會(huì)鼓勵(lì)外部的安全研究人員,在谷歌Play商店的流行軟件中尋找各種安全漏洞和問題,他們可以通過谷歌開設(shè)的“HackerOne”獎(jiǎng)勵(lì)平臺(tái),將漏洞提交給軟件的開發(fā)者。
如果每一個(gè)漏洞獲得了開發(fā)者的證實(shí),并且得到了修改,谷歌將會(huì)發(fā)現(xiàn)漏洞的人士獎(jiǎng)勵(lì)1000美元。這一計(jì)劃并不會(huì)給軟件開發(fā)機(jī)構(gòu)構(gòu)成負(fù)擔(dān)。
據(jù)報(bào)道,目前谷歌這一第三方有獎(jiǎng)捉蟲計(jì)劃暫時(shí)針對特定的熱門安卓軟件,其中包括云存儲(chǔ)Dropbox、聊天工具Snapchat、音樂流媒體服務(wù)Tinder等。據(jù)悉,如果這一計(jì)劃運(yùn)行良好,開發(fā)者能夠及時(shí)修補(bǔ)外界發(fā)現(xiàn)的漏洞,則谷歌將會(huì)逐步擴(kuò)大所支持的軟件清單。
當(dāng)然,要獲得谷歌1000美元獎(jiǎng)勵(lì)并非易事。根據(jù)目前宣布的計(jì)劃,提供獎(jiǎng)勵(lì)的僅限于安卓軟件中的遠(yuǎn)程執(zhí)行漏洞,這對于安全人士也構(gòu)成較大技術(shù)挑戰(zhàn)。
據(jù)悉,谷歌此次把有獎(jiǎng)捉蟲計(jì)劃延伸到第三方應(yīng)用軟件,也是吸取了自身的成功經(jīng)驗(yàn)。早在2010年,谷歌就推出了有獎(jiǎng)捉蟲計(jì)劃,主要針對自家的安卓操作系統(tǒng)和官方軟件,據(jù)統(tǒng)計(jì),谷歌官方計(jì)劃自從啟動(dòng)至今,一共向安全人員發(fā)放了150萬美元的獎(jiǎng)金。
今年年中,谷歌再度提高了獎(jiǎng)勵(lì)金額,鼓勵(lì)安全業(yè)界發(fā)現(xiàn)更多的高危漏洞,比如遠(yuǎn)程內(nèi)核漏洞過去的獎(jiǎng)金是3萬美元,如今提高到了15萬美元。
谷歌此次的舉動(dòng),旨在提升安卓第三方應(yīng)用軟件的安全性。眾所周知的是,安卓具備開放和開源的特征,占據(jù)了全球手機(jī)操作系統(tǒng)市場九成的份額,但安卓也成為網(wǎng)絡(luò)不良之徒利用流氓軟件肆意妄為的場所,第三方機(jī)構(gòu)指出安卓軟件安全性明顯低于蘋果iOS。
在過去一年中,谷歌開始采取各種措施提升安卓安全性,比如推出了官方的殺毒掃描工具,對安卓手機(jī)中的應(yīng)用軟件(不論是否來自谷歌官方Play商店)進(jìn)行強(qiáng)制掃描,另外,谷歌也在持續(xù)不斷清理Play商店中隱藏的流氓軟件和吸費(fèi)工具。