谷歌在其bug赏金计划中添加了安装量为+ 100米的所有Android应用程序

谷歌今天扩展了它的bug赏金计划，包括Play商店中列出的任何Android应用程序，用户安装量超过1亿。

这意味着从今天开始，安全研究人员可以向Google报告这些应用程序中的漏洞，Android操作系统制造商将为有效的错误报告提供金钱奖励。

所有+ 100M ANDROID应用程序现在都是公平游戏

Play商店中列出的安装量超过1亿的所有Android应用都符合条件，应用开发者无需注册或执行任何其他操作。

Google将通过其在HackerOne平台上的Google Play安全奖励计划(GPSRP)对所有错误报告进行分类，然后将漏洞转发给应用开发者。如果应用无法解决错误，Google会将其从Play商店中删除。

Facebook，微软或Twitter等具有私人错误赏金计划的应用程序开发人员不会被排除在GPSRP之外。

谷歌表示，应用程序开发人员可以通过GPSRP提交相同的错误报告，然后在这些公司的私人错误赏金计划上提交，并获得两次同一错误的奖励。

GOOGLE最近增加了APP BUG奖励

谷歌于2017年推出了GPSRP。在程序的前三年，bug猎人可以获得高达5,000美元的远程代码执行错误，或者最多1000美元的错误导致私人数据被盗或访问应用程序受保护的组件。

但是，尽管谷歌提出要支付非谷歌应用程序的漏洞，该计划从未流行，因为安全研究人员倾向于转向谷歌的其他bug赏金计划。到目前为止，GPSRP仅向安全研究人员支付了超过265,000美元的奖金，这是谷歌通过其他错误赏金计划支付的数百万美元的一小部分。

上个月，为了提高参与计划的参与度，谷歌将上述错误的支出增加到了RCE的20,000美元，另外两个则增加了3,000美元。

此外，虽然最初只有一小部分热门应用程序被包含在GPSRP中(由谷歌手动选择)，从今天开始，已经超过1亿下载标记的任何Android应用程序或游戏都自动符合条件，这使得该公司的Play商店漏洞赏金程序比以前更具吸引力。

谷歌一直在重新利用ANDROID应用程序错误报告

此外，即使乍一看似乎Google正在为第三方应用程序中的错误修复付出代价，该公司表示有一个切实的好处和一种疯狂的方法。

Android操作系统制造商表示，过去三年通过GPSRP收到的漏洞报告并未浪费。所有错误报告都已编目并包含在系统中，该系统会自动扫描其他Play商店应用程序以解决相同问题。

如果发现其他应用容易受到通过GPSRP报告的错误的攻击，那么这些应用开发者会在其Google Play控制台中收到警报，以解决问题或将其应用从Play商店中移除。

这个名为App Security Improvement(ASI)的系统帮助Google获益并最大化了GPSRP中安全研究人员的工作。

“在其生命周期中，ASI已帮助超过30万名开发人员在Google Play上修复了超过1,000,000个应用程序，” Google表示。

“仅在2018年，该计划帮助了超过30,000名开发人员修复了超过75,000个应用程序。下游效应意味着在问题得到解决之前，这些75,000个易受攻击的应用程序不会分发给用户。”

另外，就在今天，谷歌宣布它正在开设一个新的漏洞赏金计划，安全研究人员可以报告Android应用程序，Chrome扩展程序和第三方应用程序的案例，这些应用程序可以访问窃取或滥用Google用户数据的Google API。这个bug赏金计划的灵感来自于在Facebook和Instagram上运行的类似程序。