内页banner

Google成立安全小组,专找“高度敏感”App的漏洞

2020-10-09 10:33:26

Google原本就有安全部门及技术负责Google Play Store的漏洞扫描,但最近一则招聘公告显示Google计划在现有编制外成立一个安全团队,专门寻找高度敏感(highly sensitive)第三方Android App的漏洞。


Google要找的是安全工程部门的管理人才,位于Google加州山景市(Mountain View)及华盛顿州科克兰市(Kirkland)。根据Google的人事公告,这个部门将针对Google Play Store上高度敏感的第三方Android应用程序执行应用安全评估,识别漏洞并为受影响的App开发商提供修补指引。


此外,这个部门会和现有Android安全团队,特别是负责App扫描和Google Play运行的人员合作,发展可大规模减少Android App漏洞发生的新方法。这个团队可能面临各种程序代码品质问题,还要侦测许多明显或相当隐晦不明的瑕疵。


ZDNet引述Google Play Protect部门的软件工程经理Sebastian Porst说法,所谓“高敏感性”的App包括COVID-19接触关注或是和选举有关等应用程序。


他也表示,这个部门的研究成果将和外界安全研究人员经由Google Play安全奖励方案(Google Play Security Rewards Program,GPSRP)提供的漏洞通报相辅相成。GPSRP是Google Play和特定“受欢迎”Android App开发商合办的漏洞奖励方案,旨在找出Android App,包括任意程序代码执行(ACE)及敏感资料窃取两大类型漏洞,也经由通知厂商来确保用户安全。


所谓“受欢迎”的App,是指下载人次超过1亿以上的App。但GPSRP近日也将Google、苹果开发的COVID-19曝险通知API(Exposure Notification API)、以及使用这个API开发的民间App、或是政府开发的COVID-19接触关注App暂时纳入检测范畴。


脸书也在9月初宣布一旦发现平台上第三方软件有漏洞会主动告知开发商,并设下90天修补时限,若企业不处理,脸书就会将漏洞公开。