谷歌懸賞3.8萬美元給安卓系統挑錯
- 發佈時間:2015-06-19 09:56:00 來源:環球網 責任編輯:湯婧
據美國《福布斯》網站6月18日報道,谷歌16日宣佈一項漏洞懸賞計劃,獎金金額高達3.8萬美元,獎勵那些在其安卓手機作業系統中發現嚴重漏洞的人,以顯著提高安卓的安全性能。
安卓首席安全工程師路德維格(Adrian Ludwig)表示,3.8萬美元的頭等獎將頒給那些通過以前未知的漏洞進行可重復攻擊並獲取最低層訪問權,且能提供相應補丁的駭客高手。駭客需用Google Play在售的谷歌自産Nexus設備來進行演示。
通過限制使用Nexus 來演示攻擊,有助於谷歌的安卓團隊準確證實攻擊的有效性。相信此項懸賞將使各個安卓的合作製造商受益,如HTC、LG 和三星等。
Nexus設備囊括了安卓生態系統中的所有通用代碼,谷歌同樣利用財務激勵措施來進行測試、修補漏洞、以及緩解措施,使得這項研究可以為生態系統提供最廣泛的益處。其他較小的獎項將根據攻擊的嚴重性而定。
在此之前,谷歌已經推出過一系列的漏洞懸賞計劃,並已為這些未在軟體開發過程中發現的漏洞支付了數百萬美元,但未曾對針對安卓系統的代碼推出過這類獎勵機制。
路德維格認為,與其讓手機用戶自行破解手機,谷歌不如向那些想要擁有更多作業系統控制權的用戶推薦一種擁有“解鎖”選項的手機。
此外,谷歌將開始在谷歌商店中封殺那些不符合安全標準的應用程式。尤其是,要求所有應用開發者們確定已經對OpenSSL漏洞進行修復,這個加密庫在去年被曝出存在一個名為“Heartbleed”的嚴重漏洞。
谷歌在對應用程式進行掃描時,無論開發者想要推送更新還是發佈全新軟體,都將搜尋某些特定的OpenSSL漏洞。如果發現有漏洞,那麼開發者需要將其修復,才可被允許登陸谷歌市場,而舊版本則仍可允許留在市場中。
此前,谷歌僅僅是提醒開發者們軟體中存在的漏洞,路德維格表示谷歌未來將採取“更加先發制人的姿態”,封殺其他種類的不安全開發,或是直接將舊版本從市場下架。
在降低安卓遭受惡意軟體威脅方面,他指出谷歌數據顯示去年“潛在有害應用”的安裝率已經下降50%,間諜軟體的安裝率下降了90%。谷歌非常關注各種各樣的攻擊威脅,擔心從高度專業到針對大眾市場的各種層面的攻擊者。
