Play ストアでアプリの脆弱性を見つけた場合は、賞品が与えられます
この計画は、Microsoft、Apple、またはGoogle 自体が Chrome で行う計画と同様に、Play Security Reward Program と呼ばれ、Android 4.4 KitKat 以降のバージョンで最も人気のある Android アプリケーションのリモート コード実行 (RCE)に関連する脆弱性を見つけるようハッカーに呼びかけることを目的としています。
脆弱性を見つけることに加えて、それがどのように悪用されるかを実証し、それが機能することを実証するための概念実証を添付する必要があります。これは、攻撃者がユーザーの許可なしに、またユーザーの知らないうちに任意のコードを実行することを可能にする RCE の脆弱性に影響します。これには次のような例が含まれます。
- 攻撃者がアプリを通じてモバイルを完全に制御し、ネットワークからコードをダウンロードして実行できるようにする可能性があります (ネイティブ、Java など)。
- 銀行取引を実行するためのインターフェイスの操作。これにより、ユーザーの許可なしに銀行アプリが取引を行うことが可能になります。
- ユーザーの操作なしで Web ウィンドウを開くと、フィッシング攻撃が可能になります。
現時点でこの新しいプログラムを受け入れている開発者は 8 人だけですが、今後さらに多くの開発者が受け入れられる予定です
脆弱性を提出するプロセスは次のとおりです。
- 研究者がそれらを発見し、上記の内容に適合する場合、 HackerOne に送信されます。
- アプリケーション開発者は情報を受け取り、研究者と協力して脆弱性を解決します。
- 問題が解決されると、研究者は同じ HackerOne リンクで支払いを要求します。 Android セキュリティ チームが立ち寄って、あなたの仕事に感謝し、お金を送ります。
ユーザーが受け取る金額は、要件を満たす脆弱性ごとに 1,000 ドルとなります。将来的に、Google はこのプログラムに他の種類の脆弱性を含めるように取り組んでいます。
Google は、Play ストアのセキュリティを維持するという点で、非常に複雑なタスクを抱えています。いくつかのセキュリティ メカニズム (Play プロテクト) を備えているにもかかわらず、マルウェアと考えられるアプリケーションの出現によって影響を受けます。さらに、数百万人が携帯電話にインストールしているアプリケーションが脆弱性を悪用するために使用される可能性が加わりました。
これまでのところ、Alibaba、Dropbox、Duolingo、Headspace、Line、Mail.ru、 Snapchat、Tinder の8 つの開発者からのアプリケーションがこのプログラムに受け入れられています。 Google は現在、このプログラムに参加する開発者の数を拡大するために取り組んでいます。
これは、Google が本日 Play ストア向けに発表した新機能の 1 つです。また、 Instant Apps 機能も改善され、インストールしなくても「今すぐ試す」をクリックするだけで試せるようになりました。
参考資料一覧
- https://hackerone.com/googleplay