Google、特定のAndroidアプリにおけるRCEバグの報告に対して最大$450,000の報奨金を増額

Googleは、特定のAndroidアプリ内のリモートコード実行（RCE）脆弱性を報告するために最大$450,000の報奨金を提供しています。

RCEとは、攻撃者がターゲットコンピュータ上で悪意のあるコードをリモートで実行できるサイバー攻撃のことで、どこにあっても追加のマルウェアを展開したり、機密データを盗んだりすることができます。

以前は、Tier 1アプリにおけるRCE脆弱性の報告に対する報酬は$30,000でしたが、現在は最大10倍の$300,000に増額されました。

これらの変更は、2023年に開始されたモバイル脆弱性報酬プログラム（Mobile VRP）に適用され、Googleが開発または維持するファーストパーティのAndroidアプリに焦点を当てています。

このプログラムの目的は、「ファーストパーティのAndroidアプリケーションの脆弱性を軽減し、ユーザーとそのデータを安全に保つ」ことです。「GoogleがファーストパーティのAndroidアプリケーションのセキュリティ姿勢を改善するのを助ける研究者の貢献と努力を認識する」ことによって実現されます。

Mobile VRPの開始以来、Googleは40件以上の有効なセキュリティバグ報告を受け取り、セキュリティ研究者に対して約$100,000の報酬を支払っています。

Tier 1に関しては、対象アプリのリストにはGoogle Play Services、Android Google Searchアプリ（AGSA）、Google Cloud、Gmailが含まれています。

Googleはまた、機密データの盗難につながる可能性のある欠陥に特に注意を払うようセキュリティ研究者に求めています。リモートまたはユーザーの操作が不要なエクスプロイトには、研究者に$75,000が支払われます。

さらに、テックジャイアントは、提案されたパッチや脆弱性の効果的な軽減策、他の類似の問題の変種を見つけるのに役立つ根本原因分析を含む優れた品質の報告に対して、報酬総額の1.5倍を支払います。これにより、研究者はTier 1のAndroidアプリにおけるRCEエクスプロイトで最大$450,000を獲得できる可能性があります。

ただし、研究者は、以下の条件を満たさない低品質のバグ報告に対しては報酬の半分しか受け取れません：

• 問題の正確で詳細な説明
• 概念実証エクスプロイト
• APK形式の例アプリケーション
• 脆弱性を信頼性高く再現するためのステップバイステップの説明
• 脆弱性の影響の明確な分析とデモンストレーション

| | カテゴリ | | 1) リモート/ユーザー操作なし | | 2) ユーザーが脆弱なアプリを悪用するリンクをクリックする必要がある | | 3) ユーザーが悪意のあるアプリをインストールする必要がある、または被害者アプリが非デフォルトの方法で構成されている | | 4) 攻撃者が同じネットワーク上にいる必要がある（例：MiTM） | |

| | A) 任意のコード実行 | | $300,000 | | $150,000 | | $15,000 | | $9,000 | |

| | B) 機密データの盗難* | | $75,000 | | $37,500 | | $9,000 | | $6,000 | |

| | C) その他の脆弱性 | | $24,000 | | $9,000 | | $4,500 | | $2,400 | |

「いくつかの追加の小さな変更も私たちのルールに加えられました。たとえば、SDKに対する2x修正子は、現在通常の報酬に組み込まれています。これにより、全体的な報酬が増加し、パネルの決定が容易になります」とGoogleの情報セキュリティエンジニア、クリストファー・ブラシアクは述べています。