Googleは、一部のAndroidアプリ内のリモートコード実行脆弱性の報告に対する報奨金を3万ドルから30万ドルへと10倍に増額した。
同社はモバイル脆弱性報奨プログラム(Mobile VRP)にこのような変更を加え、Tier 1アプリケーションと説明しているものに適用している。
対象となるアプリケーションには、Google Playサービス、Android Google検索アプリ(AGSA)、Google Cloud、Gmailが含まれる。
グーグルはまた、セキュリティ研究者が機密データの盗難につながる可能性のある欠陥に焦点を当てることを望んでおり、ユーザーによる操作を必要とせず、リモートで使用できるエクスプロイトに対して75,000ドルを支払うことになった。
提案されたパッチまたは効果的な緩和策と、他の問題の亜種を見つけるのに役立つ根本原因の分析を含む、非常に質の高いレポートに対しては、同社は報酬総額の1.5倍を支払い、研究者がTier 1のAndroidアプリでRCEエクスプロイトを行った場合、最大45万ドルを獲得できるようにする。
ただし、以下のような質の低いバグ報告に対しては、報酬が半額になります:
- 正確で詳細な説明、
- 概念実証のエクスプロイト、
- 脆弱性を確実に再現するための簡単な手順、
- バグの影響の明確な実証。
| カテゴリー | 遠隔操作/ユーザー操作なし | リンククリック経由 | 悪意のあるアプリ経由/デフォルト以外の設定 | 同一ネットワーク上の攻撃者 |
|---|---|---|---|---|
| コード実行 | $300,000 | $150,000 | $15,000 | $9,000 |
| データ盗難 | $75,000 | $37,500 | $9,000 | $6,000 |
| その他の脆弱性 | $24,000 | $9,000 | $4,500 | $2,400 |
“さらに、いくつかの小さな変更もルールに加えられた。例えば、SDKの2倍の修正は、通常の報酬に組み込まれました。これにより、全体的な報酬が増加し、パネルの決定がより簡単になるはずです」と、Googleの情報セキュリティエンジニアであるKristoffer Blasiak氏は述べている。
グーグルは昨年5月、同社のアンドロイド・アプリケーションの脆弱性に対してセキュリティ研究者に報酬を支払うモバイルVRPを導入した。
このバグ報奨金プログラムの主な目的は、グーグルが保守または開発したファーストパーティのAndroidアプリのセキュリティ上の弱点を発見し、修正するプロセスをスピードアップすることだった。
「Mobile VRPは2023年5月に開始され、1年が経過した今、私たちが達成したことを振り返る時が来ました」とブラシアク氏は付け加えた。
「最も重要なことは、40件以上の有効なセキュリティ・バグ報告を受け、セキュリティ研究者に支払われた報奨金が10万ドルに近づいたことだ。
Comments