Google は、Android のバグ報奨金プログラムを拡大し、この Web 大手のアプリのセキュリティホールだけでなく、インストール数が 1 億回を超えているサードパーティ製ソフトウェアの脆弱性も対象とするようにしている。
Androidアプリの開発者が既に独自のバグ報奨金プログラムを運用している場合、情報セキュリティ担当者は開発者から報奨金を請求できるだけでなく、ウェブ検索の王者Googleが拡大したGoogle Playセキュリティ報奨金プログラムを通じて報奨金も受け取ることができるとのことです。対象となる人気アプリが独自のバグ報奨金プログラムを実施していない場合、Googleは報告された脆弱性に対して報奨金を支払い、開発者にコードの欠陥を警告します。
「こうした状況において、Googleは特定された脆弱性を影響を受けるアプリ開発者に責任を持って開示できるよう支援します」と、Google社員のアダム・バッカス氏、セバスチャン・ポルスト氏、パトリック・マッチラー氏は、今回の拡張を発表する際に説明した。「これにより、セキュリティ研究者は数百もの組織がアプリの脆弱性を特定し、修正できるよう支援できるようになります。」
Googleは、Appleとその厳格な監視下にあるiOSストアと比較すると、サードパーティ製アプリに対する規制が緩いため、PlayストアからAndroidマルウェアを排除するのに苦労しています。このほぼ無防備なポリシーにより、悪意のあるソフトウェアが侵入し、何百万人もの不運なユーザーがダウンロードしてしまう可能性があります。AIを活用したマルウェア検出システムであるGoogleのPlay Protectシステムは、悪質なソフトウェアの検出に一定の成果を上げていますが、明らかに十分ではなく、テスターからは酷評されています。Googleによると、現在アクティブなAndroidデバイスは約25億台に上ります。
Googleは、Google Playにある約100万本のアプリの脆弱性修正に30万人以上の開発者を支援し、過去のAndroidアプリのバグ報奨金で26万5000ドルを支払ったと主張している。これらの報奨金は現在増額されており、過去数か月だけで7万5500ドルを支払ったとGoogleは述べている。
データにもお金が生まれる
Google はまた、アプリやその開発者による不正行為の報告に対しても報奨金を支払うと述べている。ユーザーやシステムのデータを不適切に収集、販売、または悪用するアプリを考えてみてほしい。
「アプリまたはChrome拡張機能に関連するデータの不正使用が確認された場合、当該アプリまたは拡張機能はGoogle PlayまたはGoogle Chromeウェブストアから削除されます。アプリ開発者がGmailの制限されたスコープへのアクセスを不正に利用した場合、APIアクセスも削除されます」とGoogle社員は述べています。「現時点では報奨金表や最高額は公表されていませんが、影響度に応じて、1件の報告で最大5万ドルの報奨金が支払われる可能性があります。」
この開発者データ保護報奨プログラムは、今週独自のニュースを発表するHackerOneを通じて運営されます。このバグ報奨金ブローカーは、最初の億万長者バグハンターを選出したと発表しました。
ゼロデイ攻撃を受けた場合、ブラックマーケット、グレーマーケット、それともホワイトマーケットに販売しますか?
続きを読む
サンティアゴ・ロペス、マーク・リッチフィールド、ナサニエル・ワクルマン、フランス・ローゼン、ロン・チャン、トミー・デヴォスといったハッカーは、HackerOneを通じてそれぞれ7桁を超える報奨金を受け取った。HackerOneによると、昨年のバグ報奨金総額は2100万ドルで、前年の2倍以上となった。
つまり、ソフトウェアを破壊するには良い時期だということです。
「2020年末までにハッカーが1億ドルを稼ぐと予測しており、その節目に到達すれば、当社のプラットフォームに100万人の倫理的なハッカーが登録している可能性も十分にある」とハッカーワンのCEO、マーテン・ミコス氏は語った。
「当社の推定によると、これまで以上に多くの業界で、外部の視点が、悪意のある人の手に渡れば高額で恥ずかしいデータ漏洩につながる可能性のあるバグの発見と修正に不可欠であることを認識しており、当社は20万件以上の脆弱性の発見と修正をお客様に支援してきました。」®
