詳細はまだ不明だが、GoogleのPlaytimeデベロッパーイベントで今日午前に流れたニュースによると、GoogleはGoogle Playバグ発見懸賞プログラムを実施し、Androidの人気アプリ(Google製もサードパーティー製もある)をいじって脆弱性を見つけるよう研究者たちを誘っている。
“Google Play Security Reward” と呼ばれるこのプログラムは、研究者がAndroidアプリ開発者と直接協力して脆弱性を見つけることを目的としている。開発者のバグ潰しに協力すればGoogleが1000ドル支払う(ほかにサードパーティー開発者自身が支払う場合もある)。
現在までに分かっている内容は以下の通り:
- 対象は一部のAndroidアプリのみで、〈全〉アプリではない。現在リストに挙がっているのはAlibana、Dropbox、Duolingo、Headspace、LINE、Snapshot、Tinder、およびGoogle PlayにあるGoogle製Androidアプリの全部。
- 現在プログラムの対象アプリは招待制だが、将来は門戸を広げる予定。Google広報によるとオプトイン方式になる。
- 研究者はアプリ開発者と直接連絡を取って脆弱性の確認/解消に努める。バグが修正されたら研究者がGoogleに通知すると、バグを確認のうえ1000ドルの報奨金が支払われる。Googleは修正前のバグは知りたくない。「プログラムはアプリ開発者と協力して脆弱性が解決したときにボーナスを要求するためだけに存在している」と説明書に書かれている。
- ほとんどのバグ懸賞プログラムと同じく、Googleは具体的にいくつかの厄介なタイプの問題に絞って見付けようとしている。「このアイコンはおかしい」的なものではない。現在の調査対象は、任意のコードを強制的にダウンロード/実行させるアプリ、アプリのUIを操作して取引を行わせたり(例えば銀行アプリがユーザーの許可なく送金する)アプリにフィッシングサイトを開かせるアプリなど。
Googleはこのプログラムのバックエンドの大半をHackerOneに依頼しており、レポートの発行から善意のハッカーの招待まで受け持つ。詳細はこちらで読める。
Googleは、ChromeとAndroidを含めたバグ懸賞プログラム全体で、2017年1月までに900万ドル支払っている。
[原文へ]
(翻訳:Nob Takahashi / facebook )
