Google成立安全小組，專找“高度敏感”App的漏洞

Google原本就有安全部門及技術(shù)負(fù)責(zé)Google Play Store的漏洞掃描，但最近一則招聘公告顯示Google計劃在現(xiàn)有編制外成立一個安全團隊，專門尋找高度敏感（highly sensitive）第三方Android App的漏洞。

Google要找的是安全工程部門的管理人才，位于Google加州山景市（Mountain View）及華盛頓州科克蘭市（Kirkland）。根據(jù)Google的人事公告，這個部門將針對Google Play Store上高度敏感的第三方Android應(yīng)用程序執(zhí)行應(yīng)用安全評估，識別漏洞并為受影響的App開發(fā)商提供修補指引。

此外，這個部門會和現(xiàn)有Android安全團隊，特別是負(fù)責(zé)App掃描和Google Play運行的人員合作，發(fā)展可大規(guī)模減少Android App漏洞發(fā)生的新方法。這個團隊可能面臨各種程序代碼品質(zhì)問題，還要偵測許多明顯或相當(dāng)隱晦不明的瑕疵。

ZDNet引述Google Play Protect部門的軟件工程經(jīng)理Sebastian Porst說法，所謂“高敏感性”的App包括COVID-19接觸關(guān)注或是和選舉有關(guān)等應(yīng)用程序。

他也表示，這個部門的研究成果將和外界安全研究人員經(jīng)由Google Play安全獎勵方案（Google Play Security Rewards Program，GPSRP）提供的漏洞通報相輔相成。GPSRP是Google Play和特定“受歡迎”Android App開發(fā)商合辦的漏洞獎勵方案，旨在找出Android App，包括任意程序代碼執(zhí)行（ACE）及敏感資料竊取兩大類型漏洞，也經(jīng)由通知廠商來確保用戶安全。

所謂“受歡迎”的App，是指下載人次超過1億以上的App。但GPSRP近日也將Google、蘋果開發(fā)的COVID-19曝險通知API（Exposure Notification API）、以及使用這個API開發(fā)的民間App、或是政府開發(fā)的COVID-19接觸關(guān)注App暫時納入檢測范疇。

臉書也在9月初宣布一旦發(fā)現(xiàn)平臺上第三方軟件有漏洞會主動告知開發(fā)商，并設(shè)下90天修補時限，若企業(yè)不處理，臉書就會將漏洞公開。