一文读懂《华为应用市场上架应用安全奖励计划》

大数据时代,智能终端设备已经成为人们的贴身之物,为日常生活带来了极大地便捷。但随着智能终端设备的重要性与日俱增,越来越多的网络犯罪分子盯上了这块“肥肉”。近日,网络威胁情报公司Check Point Research就在报告中表示,许多移动应用开发人员可能通过各种配置错误的第三方云服务泄露了用户的电子邮件、聊天消息、位置、密码和照片等个人数据,网络犯罪分子可能会利用这些数据进行欺诈、身份盗用和服务刷卡。

作为保护用户隐私安全的一道重要关卡,如何加强应用审核,及时修补应用漏洞也成为应用分发平台需要面对的难题。6月15日,为了进一步提升应用市场安全性,华为发起《华为应用市场上架应用安全奖励计划》,希望借助业界安全专家力量,构筑用户隐私安全保护墙。

奖励范围与流程:覆盖所有上架APP与快应用

市面上的应用分发平台虽然大部分都有自身的检测机制,但绝大部分还是停留在自有APP上,第三方APP的应用安全很难得到保障。此次华为应用市场上架的《华为应用市场上架应用安全奖励计划》,将应用覆盖范围由华为自有APP到扩展到华为应用市场上架的全部APP与快应用。只要相关的APP在应用市场及APP自身更新中无最新版本,所有白帽专家均可以向华为披露在架应用的恶意行为线索。

此次恶意行为收集范围包括“恶意应用、欺诈应用、黑灰产应用”,“多开发者使用的SDK或库漏洞”以及“APP隐私数据泄露”三大方面。重点针对对用户隐私安全有实际影响的恶意行为,普通逻辑漏洞和不涉及用户数据的漏洞及情报不在此次收集范围。

需要注意的是,所涉及的软件开发工具包或库需要被多个组织使用,由同一父组织跨多个应用程序共享的代码将不会获得软件开发工具包或库的奖励。

那么,如何向《华为应用市场上架应用安全奖励计划》披露漏洞呢?路径分为两种,简单来说,就是如果应用有自己的SRC(安全应急响应中心)或奖励计划接收漏洞,建议白帽专家首先将漏洞提交给该应用的开发团队。如果提交后30天仍没有响应,再将漏洞详细信息提交给华为。应用如果没有SRC,白帽专家们可以直接将漏洞提交给华为。接到漏洞反馈后,华为会启动评估流程,并尝试协助应用开发团队定位并修复问题。

评分标准和奖励标准:三级漏洞评分,最高奖励10万

根据恶意行为的危害程度,《华为应用市场上架应用安全奖励计划》将恶意行为评分标准分为严重、高、中三个等级,并给予线索披露人员对应的奖励金额。

举些例子,未经用户同意安装、利用漏洞直接获取客户端最高权限等行为,被认为是“严重”级别,华为将给予线索提供者奖励金额2000-5000元;在用户不知情的情况下,通过模拟人工点击链接、下载软件、点击广告等刷榜刷量行为,是“高危”级别,华为给予线索提供者1000-2000元的奖励;伪装应用、诱导下载、欺骗用户、未经授权而收集或使用用户个人信息、未按用户授权的场景正确收集或使用用户个人信息等行为,是“中危”级别,华为给予线索提供者的奖励是200-1000元。

如果白帽专家提供的是特殊重大的安全漏洞,华为还会进行额外奖励,奖金额度在1万-10万人民币。白帽专家们获得的奖励额度是综合评估的,比如除了提报的漏洞级别,还与应用下载量有关,简单来说,该应用在华为应用市场的下载量越高,白帽专家们获得的奖励额度也就越高。此外,在提交漏洞时还需自行证明应用对应恶意行为的取证信息。

完善的重复判断机制:不同情况不同解决方式

此外,为了避免漏洞被重复判断,《华为应用市场上架应用安全奖励计划》也进行了一些说明。如同一开发者相同技术手段的在多个不同APP的恶意行为、同一漏洞源或者利用点产生的多个恶意行为,都视为一个漏洞进行奖励。如果有多个白帽专家们上报相同的漏洞,那就是“先到先得”,首位上报者才获得者奖励。

遇到漏洞情况比较复杂的情况,比如一个报告会包含多个安全漏洞,或者多个安全报告最终指向一个安全漏洞,华为将视最终的影响结果进行奖励。

本次《华为应用市场上架应用安全奖励计划》的到来,意味着华为不仅重视自有APP的漏洞查找,提升和完善产品和业务的安全性,也致力于通过和安全社区及业界专家共同合作,帮助应用市场上架的所有应用程序提升安全性。通过《华为应用市场上架应用安全奖励计划》,华为旨在保护用户隐私和安全的同时,为用户提供更加智慧的体验。未来华为将继续增强技术实力,同时“广纳白帽人才”,构建应用市场安全的新标准与新篇章。