Google、Androidオペレーティングシステムのバグ報告に対して40,000ドルのバグバウンティを発表

Google、倫理的ハッカーとセキュリティ研究者を招待し、40,000ドル（£25,600）のオファーでAndroidのセキュリティ脆弱性を見つける

Googleは、Androidデバイスのバグを見つけたセキュリティ研究者に最大40,000ドル（£25,600）の報酬を支払うことを開始します。同社はまた、Android OS上のサードパーティソフトウェアの安全性を確保するための新しいプログラムを発表し、開発者にアプリケーションで古いプログラミングライブラリを使用しないよう促します。

Androidセキュリティの責任者であるアドリアン・ラドウィッグは、「私たちは、モバイルが人々がインターネットに接続する最も重要な方法になる可能性があると見ています。また、二要素認証を提供し、ユーザーのインタラクションの方法に希望をもたらすことを見ています。」と述べました。

しかし、ほとんどのセキュリティ研究は依然としてレガシーシステムに注意を払っています。私たちは、セキュリティ研究者がモバイルに焦点を当てるようにインセンティブを与えることでそれを変えようとしています。「Androidセキュリティ報酬」と呼ばれる新しいスキームは、GoogleのChromeウェブブラウザのための同様のプログラムの成果に続くものです。2014年には、同社はセキュリティ研究者に150万ドル以上を支払いました。

ラドウィッグは、セキュリティ脅威を引き起こす可能性のあるソフトウェアライブラリのためにAndroidアプリを調査する決定が1年前に下されたと述べ、現在は「実験的」な導入を超えて展開されると述べました。また、アプリのスキャンに関しては、悪い行動を故意に探すのではなく、間違いを探すことになると述べました。

ラドウィッグは、2014年のHeartbleed脆弱性を念頭に置いたオープンソースの暗号化ライブラリであるOpenSSLの明確な例を挙げました。

ラドウィッグは、「私たちはOpenSSLの古い話に目を向けています。約1年前にアプリのスキャンを開始し、開発者にその種の間違いを犯した場合に通知しています。私たちの目標は、共通のベースラインに到達することであり、開発者がアプリを更新するのを助けるための構造を整えたいと考えています。そうすることで、すべてのアプリの価値が上がります。」と述べました。

Googleのバグ報酬を請求したい開発者は、同社の2つの出荷中のNexusデバイス、すなわちNexus 6とNexus 9に影響を与える脆弱性を示す必要があります。Android市場の分割のため、Googleは他のAndroidデバイスに影響を与えるバグがオペレーティングシステムのミスなのか、メーカーの追加機能のミスなのかを証明することができません。報酬はスライド式で、軽微なバグには500ドルが提供され、特別な作業は必要なく、特定するだけで済みます。重大な脆弱性には38,000ドルが提供され、リモート使用の証明概念と問題を修正するための領域が必要です。「私たちの目標は、これがフルタイムの研究であり、非常に良い報酬の機会になることです。」とラドウィッグは述べました。

Project Zeroという別のGoogleのセキュリティスキームは、他社のデバイスを使用して証明概念を公開する慣行に対して少しの議論を引き起こしています。このプロジェクトは、以前に特定されていない脆弱性を認識し、それを製造業者に90日以内に修正するように公開することを目的としています。修正が近づいていない場合、グループは攻撃を公に公開し、企業にセキュリティパッチを迅速に行うよう促します。

同社は自らの教えを実践しています。ラドウィッグは、Androidの脆弱性はProject Zeroによって探されていると述べています。Project Zeroが問題を特定した場合、私たちはそのターゲット内で作業するための時間制限が与えられ、他のすべての人と同じです。これまでのところ、期限を逃したことはありません。

「私たちは、製造業者が迅速に対応することを完全に信じています。すべての関係者は迅速に対応するべきです。」