随着恶意软件创作者变得更加激进和复杂,近年来,一些科技公司已经制定了“Bug 悬赏计划”,为任何个人或团体提供货币奖励,以发现软件中的关键漏洞。谷歌已经执行 Bug 悬赏计划计划多年了,但这个搜索巨头最近扩大的程序范围已经超出了自己内部开发的软件。 根据 HackerOne 的说法,Google 的新 Bug 悬赏计划现在鼓励黑客在 Play 商店中的一些更受欢迎的第三方应用程序中发掘软件漏洞。虽然也许不常见,但在恶意软件的广泛感染下载的 Android 应用程序却是很普遍的。 对于任何热衷于解决谷歌新的“Bug 悬赏计划”的用户,每测试出一个软件漏洞将获得 1,000 美元。 标准如下: 现在,范围仅限于在 Android 4.4 设备上运行的 RCE(远程代码执行)漏洞和相应的 POC(概念证明)。 包括任何可转换为 RCE 的漏洞,允许攻击者在用户的设备上运行他们选择的代码。示例包括:
值得注意的是,新的 Bug 悬赏计划现在只适用于 Google 开发的 Android 应用程序和以下第三方应用程序:Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.Ru, Snapchat 和 Tinder。不过,该计划可能会开放至额外的第三方应用程序。 来自:http://bgr.com/2017/10/20/android-security-bug-bounty-third-party-apps/ |