华为应用市场上架应用安全奖励计划:十万“悬赏”召天下白帽
2021-06-17
来源:安全圈
智能手机在日常生活中扮演着必不可少的角色,而手机上种类繁多的应用也在不断丰富着我们每天的工作、娱乐和生活。在关注手机性能和使用体验的同时,应用的安全性也不可忽视。诸如山寨应用、恶意扣费、窃取用户隐私等应用安全性问题,对用户的个人隐私和财产安全带来了极大的风险。
正因如此,华为应用市场(HUAWEI AppGallery)自诞生以来便将 “ 隐私保护 ” 和 “ 应用安全 ” 作为产品设计、开发和运营的基础,一直非常重视自身产品及用户信息安全,致力于为用户提供安全的应用,构建绿色健康的应用生态。
6 月 15 日,华为正式发起 “ 华为应用市场上架应用安全奖励计划 ” 并和安全社区以及业界专家合作,此次华为发起的计划将会对于白帽识别的应用市场在架恶意应用迅速反应,即时处理并给予奖励,此举旨在提升华为应用市场上架应用的安全性。
其实早在几年前,华为终端云服务就已经启动类似安全奖励计划,这一次的奖励计划则将覆盖范围扩展至上架的第三方 APP,这也意味着对用户隐私的保护机制进一步延伸。
在本次计划中,包含华为应用市场上架全部 APP 与快应用,参与人员需围绕 “ 恶意应用、欺诈应用、黑灰产应用 ”,“ 多开发者使用的 SDK 或库漏洞 ” 以及 “APP 隐私数据泄露 ” 三个层面,挖掘对用户隐私安全有实际影响的恶意行为。需特别注意的是,普通逻辑漏洞和不涉及用户数据的漏洞及情报不在此次收集范围内。
根据恶意行为的危害程度,评分标准分为 “ 严重 ”、“ 高 ”、“ 中 ” 三个等级,奖金分别对应 2000 元 -5000 元、1000 元 -2000 元、200 元 -2000 元。除此之外提供特殊重大的安全漏洞,还会进行额外奖励,奖金高达 1 万 - 10 万人民币。判定级别与奖金额度还取决于该应用的实际下载量,在提交应用恶意行为时,还需自行证明其取证信息。
此次安全奖励计划旨在吸引众多白帽专家参加。白帽专家也叫白帽黑客(White Hat),是不被利益驱使的文艺黑客,专攻渗透测试和其他测试方法,以确保一个组织的信息系统的安全。
通常业内将向 SRC(Security Response Center,安全应急响应中心)提交漏洞这一行为称作 “ 挖洞 ”,对于白帽子而言,挖洞过程中不仅能获得来自企业安全平台的嘉奖,如海量现金奖励、排行榜名誉等等,而且更重要的在于帮助自身技能提升,结识业界同仁,实现更多个人价值。
白帽安全人员参与此次华为应用市场安全奖励计划,将为全球 170 多个国家和地区的 7 亿华为终端用户找出恶意 APP 及恶意行为,带来更安全的应用体验。
作为全球 TOP 3 应用市场,华为应用市场中不乏各行业顶级 APP 的身影。为了保证白帽们高效作业,此次安全奖励计划允许白帽们直接通过上架应用自己的 SRC 或奖励计划提交恶意行为,如 30 天未响应则可向华为提报;如果上架应用没有对应的 SRC 或奖励计划,可以直接将应用恶意行为提交到华为安全奖励计划官网,华为应用市场将启动评估流程并尝试协助应用开发团队定位并处理问题。
华为旨在将华为应用市场打造为一个开放、创新、面向消费者的应用分发平台,旨在保护用户隐私和安全的同时为用户提供独特、智慧的体验。
华为在全球拥有数亿终端用户,为其终端云服务 ( HMS ) 生态系统的发展奠定了坚实的基础。除了以上述奖励计划保证用户隐私安全,华为还积极参与软件绿色联盟标准建设,把自身多年积累的应用安全知识和经验分享给全行业,与行业共同构建绿色应用认证系统,推动行业生态健康良性发展。