Google成立安全小組，專找“高度敏感”App的漏洞

Google原本就有安全部門及技術(shù)負(fù)責(zé)Google Play Store的漏洞掃描，但最近一則招聘公告顯示Google計(jì)劃在現(xiàn)有編制外成立一個(gè)安全團(tuán)隊(duì)，專門尋找高度敏感（highly sensitive）第三方Android App的漏洞。

Google要找的是安全工程部門的管理人才，位于Google加州山景市（Mountain View）及華盛頓州科克蘭市（Kirkland）。根據(jù)Google的人事公告，這個(gè)部門將針對(duì)Google Play Store上高度敏感的第三方Android應(yīng)用程序執(zhí)行應(yīng)用安全評(píng)估，識(shí)別漏洞并為受影響的App開發(fā)商提供修補(bǔ)指引。

此外，這個(gè)部門會(huì)和現(xiàn)有Android安全團(tuán)隊(duì)，特別是負(fù)責(zé)App掃描和Google Play運(yùn)行的人員合作，發(fā)展可大規(guī)模減少Android App漏洞發(fā)生的新方法。這個(gè)團(tuán)隊(duì)可能面臨各種程序代碼品質(zhì)問(wèn)題，還要偵測(cè)許多明顯或相當(dāng)隱晦不明的瑕疵。

ZDNet引述Google Play Protect部門的軟件工程經(jīng)理Sebastian Porst說(shuō)法，所謂“高敏感性”的App包括COVID-19接觸關(guān)注或是和選舉有關(guān)等應(yīng)用程序。

他也表示，這個(gè)部門的研究成果將和外界安全研究人員經(jīng)由Google Play安全獎(jiǎng)勵(lì)方案（Google Play Security Rewards Program，GPSRP）提供的漏洞通報(bào)相輔相成。GPSRP是Google Play和特定“受歡迎”Android App開發(fā)商合辦的漏洞獎(jiǎng)勵(lì)方案，旨在找出Android App，包括任意程序代碼執(zhí)行（ACE）及敏感資料竊取兩大類型漏洞，也經(jīng)由通知廠商來(lái)確保用戶安全。

所謂“受歡迎”的App，是指下載人次超過(guò)1億以上的App。但GPSRP近日也將Google、蘋果開發(fā)的COVID-19曝險(xiǎn)通知API（Exposure Notification API）、以及使用這個(gè)API開發(fā)的民間App、或是政府開發(fā)的COVID-19接觸關(guān)注App暫時(shí)納入檢測(cè)范疇。

臉書也在9月初宣布一旦發(fā)現(xiàn)平臺(tái)上第三方軟件有漏洞會(huì)主動(dòng)告知開發(fā)商，并設(shè)下90天修補(bǔ)時(shí)限，若企業(yè)不處理，臉書就會(huì)將漏洞公開。