谷歌将取消其Play商店的“漏洞赏金”计划

　　谷歌将关闭其漏洞赏金计划。据Android Authority报道，该公司将于8月31日取消Google Play安全奖励计划。谷歌将在9月15日之前审查所有提交的报告，并将在9月30日正式结束其财政奖励。

　　这一决定是在谷歌最初推出Google Play安全奖励计划近七年之后做出的。早在2017年，该公司就宣布了该计划，以激励安全研究人员寻找安卓应用程序中的漏洞和漏洞。然后，这些研究人员可以与应用程序的开发人员分享他们的发现，这样他们就可以尽快修补安全漏洞。

　　这也不是谷歌独有的想法:许多公司都为道德黑客提供经济奖励，让他们发现并报告大大小小的漏洞。没有一家公司能够自己抓住所有的漏洞，所以我们的想法是将一些工作外包给有才能的人，他们可能会看到公司看不到的东西。以谷歌为例，他们的Play商店有数百万个应用程序，所以额外的眼睛是有效的。

　　该项目已经发展到根据漏洞提供各种各样的经济奖励:谷歌会为一份漏洞报告支付最低500美元的报酬，如果黑客和用户在同一个网络上，黑客就可以入侵，而对于一份漏洞报告，黑客可以通过任意执行代码远程攻击用户，谷歌会支付最高2万美元的报酬。

　　谷歌表示，由于“研究社区报告的可操作漏洞越来越少”，该公司将此归因于Android内置安全措施的增加。如果这是真的，那当然是个好消息:谷歌安全政策的任何增加都是积极的，如果他们对自己消除第三方帮助的能力有足够的信心，也许这是一个好兆头。谷歌表示，他们已经能够从这些报告中获取漏洞数据，创建自动化系统，在没有人工干预的情况下，在应用程序中寻找这些问题。

　　但我们说的是谷歌。在每一个商业决策中，该公司并不总是把最终用户的隐私和安全放在首位。即使忽略这一点，这也感觉有点冒险。Play Store上有许多应用，其中许多开发者可能没有自己的系统来查找漏洞。小型开发人员可能无法自己发现严重的安全漏洞，如果谷歌的系统没有发现它，可能会影响用户。

　　你需要注意的不只是存在安全漏洞的合法应用:恶意应用一直在Play Store中被发现。早在今年5月，我们就报道了一组90个恶意应用程序，它们总共被安装了550万次。这是在这个项目全面生效的情况下。希望谷歌的安全协议能达到标准，但如果不考虑那些正在寻找这些安全漏洞的道德黑客，那就太遗憾了。

　　在Android平台上，从Play Store下载应用程序比以往任何时候都要小心。

　　在你下载应用程序之前，仔细检查一下页面:是否有很多语法和拼写问题?图片质量是否很低，或者看起来与应用的销售内容无关?评论是否看起来像是针对任何通用应用编写的，而不是针对你正在查看的特定程序?这些都是恶意应用的迹象，你应该避开。

　　但也要注意其他方面:查看隐私报告，评估应用程序将要求你获得哪些权限。即使应用程序是合法的，如果它需要你提供太多数据，如果应用程序被泄露，那就是一种责任。(很多应用程序也没有理由需要你的联系人或位置等个人信息。)

　　最重要的是，记得定期更新你的应用程序。如果有漏洞被发现，开发人员将修补和更新他们的应用程序。要例行检查更新，打开Play Store，点击右上角的头像，选择“管理应用和设备”，然后选择“管理”。然后更新有可用更新的应用程序。