Googleは現在、一部のAndroidアプリ内のリモートコード実行(RCE)の脆弱性を報告した場合に最大45万ドルの報奨金を提供している。
知らない人のために説明すると、RCE はサイバー攻撃であり、攻撃者がターゲット コンピューターの場所に関係なく、リモートから悪意のあるコードを実行して、追加のマルウェアを展開したり機密データを盗んだりすることができます。
以前は、Tier 1 アプリの RCE 脆弱性を報告した場合の報奨金は 30,000 ドルでしたが、現在は最大 10 倍の 300,000 ドルに増額されました。
これらの変更は、2023 年に開始されたモバイル脆弱性報奨プログラム (モバイル VRP) に対して行われました。このプログラムは、Google が開発または保守するファーストパーティの Android アプリに焦点を当てています。
このプログラムの目標は、「Google によるファーストパーティ Android アプリケーションのセキュリティ体制の向上に貢献した研究者の貢献と努力を表彰することにより、ファーストパーティ Android アプリケーションの脆弱性を軽減し、ユーザーとそのデータを安全に保つこと」です。 」
Mobile VRP の開始以来、Google は 40 件を超える有効なセキュリティ バグ報告を受け取り、それに対してセキュリティ研究者に 10 万ドル近くの報酬を支払ってきました。
Tier 1 の対象となるアプリのリストには、Google Play Services、Android Google Search アプリ (AGSA)、Google Cloud、Gmail が含まれます。
Googleは現在、セキュリティ研究者に対し、機密データの盗難につながる可能性のある欠陥に特に注意を払うよう求めている。リモートまたはユーザーとの対話を必要としないエクスプロイトの場合、研究者には 75,000 ドルが支払われます。
さらに、ハイテク大手は、提案されたパッチや脆弱性の効果的な軽減策、および問題の他の同様の亜種の発見に役立つ根本原因分析を含む、優れた品質のレポートに対して、報酬総額の 1.5 倍を支払います。これにより、研究者は、Tier 1 Android アプリの RCE エクスプロイトで最大 45 万ドルを獲得できるようになります。
ただし、以下の内容が提供されていない低品質のバグレポートに対しては、研究者は報酬の半分を受け取ることになります。
- 問題の正確かつ詳細な説明
- 概念実証のエクスプロイト
- APK 形式のアプリケーションの例
- 脆弱性を確実に再現する方法を段階的に説明します。
- 脆弱性の影響の明確な分析と実証
| カテゴリ | 1) リモート/ユーザー対話なし | 2) ユーザーは脆弱なアプリを悪用するリンクをたどる必要があります | 3) ユーザーは悪意のあるアプリをインストールする必要がある、または被害者のアプリがデフォルト以外の方法で設定されている | 4) 攻撃者は同じネットワーク上に存在する必要があります (例: MiTM) |
|---|---|---|---|---|
| A) 任意のコードの実行 | 30万ドル | 150,000ドル | 15,000ドル | 9,000ドル |
| B) 機密データの盗難* | 75,000ドル | 37,500ドル | 9,000ドル | 6,000ドル |
| C) その他の脆弱性 | 24,000ドル | 9,000ドル | 4,500ドル | 2,400ドル |
「私たちのルールにはさらに小さな変更も加えられました。たとえば、SDK の 2x モディファイアが通常の報酬に組み込まれるようになりました。これにより、全体的な報酬が増加し、パネルの意思決定が容易になるはずです」と Google 情報セキュリティ エンジニアのクリストファー ブラシアック氏は述べています。言った。
