谷歌悬赏3.8万美元给安卓系统挑错
- 发布时间:2015-06-19 09:56:00 来源:环球网 责任编辑:汤婧
据美国《福布斯》网站6月18日报道,谷歌16日宣布一项漏洞悬赏计划,奖金金额高达3.8万美元,奖励那些在其安卓手机操作系统中发现严重漏洞的人,以显著提高安卓的安全性能。
安卓首席安全工程师路德维格(Adrian Ludwig)表示,3.8万美元的头等奖将颁给那些通过以前未知的漏洞进行可重复攻击并获取最低层访问权,且能提供相应补丁的黑客高手。黑客需用Google Play在售的谷歌自产Nexus设备来进行演示。
通过限制使用Nexus 来演示攻击,有助于谷歌的安卓团队准确证实攻击的有效性。相信此项悬赏将使各个安卓的合作制造商受益,如HTC、LG 和三星等。
Nexus设备囊括了安卓生态系统中的所有通用代码,谷歌同样利用财务激励措施来进行测试、修补漏洞、以及缓解措施,使得这项研究可以为生态系统提供最广泛的益处。其他较小的奖项将根据攻击的严重性而定。
在此之前,谷歌已经推出过一系列的漏洞悬赏计划,并已为这些未在软件开发过程中发现的漏洞支付了数百万美元,但未曾对针对安卓系统的代码推出过这类奖励机制。
路德维格认为,与其让手机用户自行破解手机,谷歌不如向那些想要拥有更多操作系统控制权的用户推荐一种拥有“解锁”选项的手机。
此外,谷歌将开始在谷歌商店中封杀那些不符合安全标准的应用程序。尤其是,要求所有应用开发者们确定已经对OpenSSL漏洞进行修复,这个加密库在去年被曝出存在一个名为“Heartbleed”的严重漏洞。
谷歌在对应用程序进行扫描时,无论开发者想要推送更新还是发布全新软件,都将查找某些特定的OpenSSL漏洞。如果发现有漏洞,那么开发者需要将其修复,才可被允许登陆谷歌市场,而旧版本则仍可允许留在市场中。
此前,谷歌仅仅是提醒开发者们软件中存在的漏洞,路德维格表示谷歌未来将采取“更加先发制人的姿态”,封杀其他种类的不安全开发,或是直接将旧版本从市场下架。
在降低安卓遭受恶意软件威胁方面,他指出谷歌数据显示去年“潜在有害应用”的安装率已经下降50%,间谍软件的安装率下降了90%。谷歌非常关注各种各样的攻击威胁,担心从高度专业到针对大众市场的各种层面的攻击者。
