通过100M +安装在所有Android应用中找到Google Rewards Bugs

 
谷歌扩大了其Google Play安全奖励计划(GPSRP)的范围，以包括来自Google Play商店的所有Android应用，安装量超过1亿。
如果他们在HackerOne平台上运行自己的bug赏金计划，那么报告其中一个应用程序中的漏洞的安全研究人员将能够从Google和应用程序开发人员那里收集奖励。
“这为安全研究人员打开了大门，帮助数百家组织识别并修复其应用中的漏洞，”Google表示。
所有GPSRP漏洞数据都将由Google收集，并包含在其自己的恶意软件防护工具中，以“创建自动检查，扫描Google Play中可用的所有应用程序以查找类似的漏洞”。
我们正在扩大GPSRP的范围，以便在Google Play中包含1亿或更多安装的所有应用。即使应用开发者没有自己的漏洞披露或错误赏金计划，这些应用现在也有资格获得奖励。 – 谷歌
当针对其应用程序披露范围内漏洞时，也会向开发人员发送通知，包括有关安全漏洞的信息以及如何修补它的说明。
这些警报将通过Play Console发送，作为App Security Improvement(ASI)计划的一部分，该计划为Google Play应用开发者提供有关如何提高其应用安全性的建议。
“在其生命周期中，ASI已帮助超过30万名开发人员在Google Play上修复了超过1,000,000个应用程序，”谷歌补充道。
“仅在2018年，该计划帮助了超过30,000名开发人员修复了超过75,000个应用程序。下游效应意味着在问题得到解决之前，这些75,000个易受攻击的应用程序不会分发给用户。”
到目前为止，谷歌通过GPSRP支付了超过265,000美元的赏金，范围和奖励都有所增加，仅在7月和8月就可以获得75,500美元的奖金。
开发人员数据保护奖励计划也于今天推出
谷歌还与HackerOne平台合作推出了开发者数据保护奖励计划(DDPRP)，这是一个错误赏金计划，旨在奖励那些帮助“识别和缓解Android应用，OAuth项目和Chrome扩展中的数据滥用问题”的研究人员。
DDPRP接受黑客的捐款，他们愿意举报违反Google Play，Google API或Google Chrome网上应用店扩展程序政策的任何和所有应用。
该计划旨在奖励任何能够提供可验证和明确的数据滥用证据的人，与谷歌的其他漏洞奖励计划类似。特别是，该计划旨在确定用户数据被意外使用或出售的情况，或未经用户同意以非法方式重新利用的情况。 – 谷歌
如果通过DDPRP报告的数据滥用问题得到确认，则相关的应用和扩展程序将随后从Google Play或Google Chrome网上应用店中删除。
如果开发人员也滥用Google服务API来访问受限范围之外的信息，那么他们的API访问权限也将被撤销。
尽管Google还没有提供最高奖励或奖励表，但根据报告的问题影响，单个报告可以将研究人员的奖励提高到50,000美元