バグバウンティプログラムのためにGoogleが立ち上げた新しいポリシー
最近、GoogleはGoogle Playセキュリティリワードプログラム(GPSRP)の基準を拡大しており、現在は1億以上のダウンロードを含むAndroidアプリも含まれています。
このポリシーの更新は、ユーザーの個人データに対する脅威となる可能性のある悪意のあるアプリからプラットフォームを解放するためのGoogleの一歩です。これらのアプリの抜け穴を報告するセキュリティ研究者は、ハッカーワンという名前のプラットフォームでバグバウンティプログラムを実行する場合、Googleだけでなくアプリの開発者からも報われます。
Googleによるこの新しいステップは、何百もの組織がアプリの抜け穴や脆弱性を検出して修正するのを助けるセキュリティ研究者の可能性を開きます。セキュリティ研究者によって報告された脆弱性は、Googleによって収集され、チェックを作成し、関連する脆弱性で利用可能なすべての同様のアプリを検出するためにGoogle独自のマルウェア保護ツールに送信されます。GPSRPの範囲の増加は、アプリ開発者が独自のバグバウンティプログラムを実行していない場合でも、これらのアプリは報酬の対象となります。
Googleはどのようにセキュリティ上の欠陥を修正しますか
セキュリティ研究者がアプリの脆弱性を検出するたびに、アプリのセキュリティ上の欠陥に関する詳細な洞察や、アプリの修正方法に関するガイドラインなど、アプリの開発者に通知が送信されます。Google Playアプリの開発者は、アプリのセキュリティを向上させるサービスとして(ASI)プログラムを使用しており、脆弱性に関するアプリ開発者へのアラートはPlay Console(ASIプログラムの一部)を介して送信されます。
ASIプログラムは、30万人以上の開発者がGoogle Playで1,000,000以上のアプリを修正するのに役立ちました。このプログラムは、2018年だけで30,000人以上の開発者が75,000のアプリを修正するのに役立ちました。問題が解決されるまで、欠陥のあるアプリはユーザーに配布されません。
Google は GPSRP を通じて 265,000 ドル以上の賞金を獲得し、範囲と報酬を増やしてセキュリティ研究者に報酬を与えました。7月から8月の間に75,500ドル以上がバグバウンティで授与されました。
グーグルが立ち上げたもう一つの報酬プログラム
Googleは最近、HackerOneプラットフォームと協力して(DDPRP)を立ち上げました。このプログラムは、Androidアプリ、Chrome拡張機能、それを特定するのに役立つ研究者に報酬を与えるデータの乱用を検出することを目的としています。
Google Play、Google Chromeウェブストア拡張機能、Google APIのプログラムポリシーに違反するアプリに関する報告を行うハッカーは、DDPRPによって報われます。
この新しいプログラムの背後にある主な目的は、Googleの脆弱性報酬プログラムと同様に、データの乱用に関する本物の証拠を表示できる人に報酬を与えるものです。DDPRP は、ユーザーの受信確認なしでユーザー データが使用され、販売されている状況を検出するためのものです。ハッカーによるデータ乱用に関する報告が確認された場合、Googleのポリシーに違反したという申し立てを行ったアプリや拡張機能は、Google Play または Google Chrome ウェブストアから削除されます。
Google サービス API がユーザーの情報にアクセスし、ポリシーに違反したとして開発者から非難された場合でも、API へのアクセスも取り消されます。
Googleがセキュリティ研究者に提供する報酬の最大値または最低額に関する公式チャートはありませんが、報告された問題がユーザーやプラットフォームの評判に与える影響にも報酬が依存していると考えています。