当前位置:安全行业动态 → 正文

Google Play Store启动漏洞赏金计划保护Android应用

责任编辑:editor004 作者:Sphinx |来源:企业网D1Net  2017-10-24 11:29:08 本文摘自:黑客与极客

Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。

这个项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,赏金会达到1000美元。

“项目的目标是进一步提升应用的安全性,从而让开发者、用户和整个Google Play生态受益。”Google在博文中提到。

这次Google同样是跟漏洞赏金平台HackerOne合作,白帽子和研究人员需要提交漏洞到HackerOne平台。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后,黑客需要把漏洞报告提交到HackerOne。

之后Google就会根据漏洞的严重程度发放1000美元的赏金,这些评判标准在将来也可能会做一些修改。

“现在这个项目的范围只有RCE漏洞和相应的能够在Android 4.4之后的设备运行的PoC。”

目前加入Google Play Store的漏洞赏金计划的有:阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

Google Play Store成病毒传播平台

事实上Play Store一直是恶意应用泛滥,黑客往往能够绕过Play Store的安全审核机制感染大量Android用户。

今年4月,卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同,这款恶意软件不仅会将自己的模块植入目标系统中,而且它还会将恶意代码注入至系统运行时库。

今年6月,Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。

上个月,Google还从Play Store下架了近300款涉嫌DDoS的应用,这些应用甚至构建了一个名为 WireX 的僵尸网络。

相比之下,苹果的App Store因其严格的审查机制,在安全性上就比较完善。Google Chrome浏览器的Web Store同样也因为它较为宽松的审查机制被不少黑客利用。今年有大量Chrome插件的开发者遭到钓鱼邮件攻击,黑客在获取了开发者的密码后以他们的名义发布新版本的插件,这些插件中往往会植入一些恶意软件,从而劫持了Chrome插件。

而流行Chrome插件User-Agent Switcher也被发现是木马程序,其用户数超过45万人。本月, AdBlock Plus也被爆出在Chrome商店被冒充上架,成功骗得超过 37,000 人下载使用。

可惜的是现在的Play Store漏洞赏金计划并不支持Play Store上那些假冒的、含有广告的、恶意软件,因此这个计划还是不能给广大Android用户带来保障。

想要挖洞练手的同学可以访问HackerOne

关键字:GooglePlayStore

本文摘自:黑客与极客

x Google Play Store启动漏洞赏金计划保护Android应用 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

Google Play Store启动漏洞赏金计划保护Android应用

责任编辑:editor004 作者:Sphinx |来源:企业网D1Net  2017-10-24 11:29:08 本文摘自:黑客与极客

Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。

这个项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,赏金会达到1000美元。

“项目的目标是进一步提升应用的安全性,从而让开发者、用户和整个Google Play生态受益。”Google在博文中提到。

这次Google同样是跟漏洞赏金平台HackerOne合作,白帽子和研究人员需要提交漏洞到HackerOne平台。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后,黑客需要把漏洞报告提交到HackerOne。

之后Google就会根据漏洞的严重程度发放1000美元的赏金,这些评判标准在将来也可能会做一些修改。

“现在这个项目的范围只有RCE漏洞和相应的能够在Android 4.4之后的设备运行的PoC。”

目前加入Google Play Store的漏洞赏金计划的有:阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

Google Play Store成病毒传播平台

事实上Play Store一直是恶意应用泛滥,黑客往往能够绕过Play Store的安全审核机制感染大量Android用户。

今年4月,卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同,这款恶意软件不仅会将自己的模块植入目标系统中,而且它还会将恶意代码注入至系统运行时库。

今年6月,Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。

上个月,Google还从Play Store下架了近300款涉嫌DDoS的应用,这些应用甚至构建了一个名为 WireX 的僵尸网络。

相比之下,苹果的App Store因其严格的审查机制,在安全性上就比较完善。Google Chrome浏览器的Web Store同样也因为它较为宽松的审查机制被不少黑客利用。今年有大量Chrome插件的开发者遭到钓鱼邮件攻击,黑客在获取了开发者的密码后以他们的名义发布新版本的插件,这些插件中往往会植入一些恶意软件,从而劫持了Chrome插件。

而流行Chrome插件User-Agent Switcher也被发现是木马程序,其用户数超过45万人。本月, AdBlock Plus也被爆出在Chrome商店被冒充上架,成功骗得超过 37,000 人下载使用。

可惜的是现在的Play Store漏洞赏金计划并不支持Play Store上那些假冒的、含有广告的、恶意软件,因此这个计划还是不能给广大Android用户带来保障。

想要挖洞练手的同学可以访问HackerOne

关键字:GooglePlayStore

本文摘自:黑客与极客

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^