智能手机上种类繁多的应用不断丰富着我们每天的工作、娱乐和生活。在关注手机性能和使用体验的同时,应用的安全性也不可忽视。为打造更完整的安全防护机制,集合更多力量不断完善产品的安全,保护用户的隐私,很多企业选择自建安全应急响应中心(Security Response Center,SRC)或产品安全事件响应团队(Product Security Incident Response Team,PSIRT)——面向社会公开收集相关漏洞,完善安全体系同时,给予反馈方一定奖励。对此,全球互联网巨头也纷纷布局,如英特尔官方曾表示漏洞奖励计划贡献了近半漏洞,可见其对完善安全防护机制的意义。
近期,华为终端云服务推出“华为应用市场上架应用安全奖励计划”,所有安全测试人员均可以通过寻找华为应用市场上所有APP的安全威胁及漏洞来参与这项奖励计划。该计划致力于联合安全业界力量,发掘并解决华为应用市场上架应用中的潜在安全问题,共建移动互联网安全生态,为全球亿万移动终端用户保驾护航。
在此次安全奖励计划中,华为将依据举报的恶意行为危害程度给予参加者最高达10万元的奖金,并进一步补充了此前“华为终端云服务安全奖励计划”的覆盖范围——从华为应用市场、华为钱包、华为云空间等华为终端云服务APP,到华为应用市场上架的全部APP与快应用,换言之也就是在架的第三方应用。
第一时间反馈漏洞,通过就有奖金拿
根据“华为应用市场上架应用安全奖励计划”,安全测试人员可以对华为应用市场上架的全部APP与快应用,查找安全威胁与漏洞以及进行报告反馈。华为承诺对每一位报告者反馈的问题都会有专人跟进、分析和处理,并及时给予答复。华为在确认该漏洞属于奖励计划范围后,将根据“严重”、“高”、“中”三大威胁级别进行评估,最终给予第一报告人最高10万元的奖金。
由此可见,华为非常重视华为应用市场安全隐私能力,并希望通过这项计划提高生态内所有APP的安全防护水平。一方面安全隐私防护从原来的“华为自有APP”布局到“应用市场目前上架的全部APP”,另一方面,华为给出的奖金在业界也处于前列,华为所表现的诚意能够吸引更多安全测试人员参与。此举无疑会激励更多安全测试人员投身华为移动终端产品安全性的研究,从而不断提升产品安全性,全方位保障用户安全。
奖励范围广,隐私安全死角全覆盖
本次安全奖励计划的奖励范围也非常广,覆盖了应用安全与隐私的方方面面。如涉及恶意应用、欺诈应用与黑灰产应用等,不法分子常见的操作手法是远控或者在一定条件触发机制下实现APP功能与内容的切换,使应用外观、功能与实际功能呈现完全不符的情况。比如,某APP表面是新闻资讯类,在触发某些机制后,它将显示博彩、色情、钓鱼诈骗等内容。用户一旦中招,个人信息将会遭到泄露、财产将会受到损失,甚者会危及生命。
第二类是APP会在用户不知情的情况下,通过模拟人工点击链接、下载软件、点击广告等刷榜刷量行为,把用户手中的手机变成恶意牟利的工具,成为“肉机”般的存在。
第三类是未经用户授权,后台静默安装应用,导致手机里出现越来越多恶意应用;以及利用应用漏洞,直接获取客户端最高权限,此举或将导致个人隐私数据泄露。正因如此,华为对这类安全情报线索的奖励金额更高。
华为应用市场是华为终端官方应用分发平台,在手机、Pad、PC、智慧屏等全场景终端设备上均提供服务。通过此次计划的实施,以贯穿全流程的安全隐私保障体系和技术,联合外部专业力量,共享安全经验,华为应用市场将持续提升生态整体安全性和用户隐私保护能力。
