Google、Android アプリケーション向けのバグ報奨金プログラムを開始

Google は、同社の Android アプリケーションで見つかった欠陥に対してセキュリティ研究者に報酬を支払う新しいバグ報奨金プログラムである Mobile Vulnerability Rewards Program (Mobile VRP) を開始しました。

「新しいモバイル VRP を発表できることに興奮しています! モバイル アプリケーションの脆弱性の発見と修正を手伝ってくれるバグハンターを探しています」と Google VRP はツイートしました。

同社が述べたように、Mobile VRP の主な目的は、Google が開発または保守しているファーストパーティの Android アプリの弱点を発見して修正するプロセスを高速化することです。

モバイル VRP の対象となるアプリケーションには、Google LLC、Developed with Google、Research at Google、Red Hot Labs、Google Samples、Fitbit LLC、Nest Labs Inc、Waymo LLC、および Waze によって開発されたアプリケーションが含まれます。

対象範囲内のアプリのリストには、Google が「Tier 1」Android アプリケーションと呼ぶものも含まれており、これには次のアプリ (およびそのパッケージ名) が含まれます。

• Google Play サービス (com.google.android.gms)
• AGSA(com.google.android.googlequicksearchbox)
• Google Chrome (com.android.chrome)
• Google Cloud (com.google.android.apps.cloudconsole)
• Gmail (com.google.android.gm)
• Chrome リモート デスクトップ (com.google.chromemotedesktop)

対象となる脆弱性には、任意のコード実行 (ACE) や機密データの盗難を可能にする脆弱性、および他の欠陥と連鎖して同様の影響を引き起こす可能性のある脆弱性が含まれます。

これらには、孤立したアクセス許可、任意のファイル書き込みにつながるパス トラバーサルまたは zip パス トラバーサルの欠陥、エクスポートされていないアプリケーション コンポーネントを起動するために悪用される可能性のあるインテント リダイレクト、保留中のインテントの安全でない使用によって引き起こされるセキュリティ バグが含まれます。

Googleは、ユーザーの介入なしでリモートでコードを実行した場合には最大3万ドル、リモートで機密データの盗難を可能にするバグには最大7,500ドルの報奨金を与えると述べている。

「Mobile VRP は、Google のファーストパーティ Android アプリケーションのセキュリティ体制の向上に貢献した研究者の貢献と勤勉を表彰します。」と Google は述べています。

「このプログラムの目標は、ファーストパーティの Android アプリケーションの脆弱性を軽減し、ユーザーとそのデータを安全に保つことです。」

2022年8月、同社は、Bazel、Angular、Golang、プロトコルバッファ、Fuchsiaなどの最も機密性の高いプロジェクトを含む、Googleオープンソースソフトウェア（Google OSS）の最新リリースバージョンのバグを発見するためにセキュリティ研究者に報酬を支払うと発表した。

10 年以上前の2010 年に最初の VRP を発表して以来、Google は 15,000 を超える脆弱性を報告した世界中の数千人のセキュリティ研究者に 5,000 万ドル以上の報奨金を提供してきました。

2022 年には、gzobqq によって報告された 5 つの個別のセキュリティ バグからなる Android エクスプロイト チェーンに対する記録破りの60 万 5,000 ドルの支払いを含む、1,200 万ドルの賞金を授与されました。これは Android VRP 史上最高額です。

1 年前、同じ研究者が Android で別の重要なエクスプロイト チェーンを提出し、さらに 157,000 ドルを獲得しました。これは、当時の Android VRP 史上のバグ報奨金記録でした。