Androidアプリのバグ報奨金プログラムが拡大。1億インストール以上のアプリが対象に

データ不正利用の発見プログラムも開始されました

山本竜也(Tatsuya Yamamoto)
山本竜也(Tatsuya Yamamoto)
2019年08月30日, 午後 01:00 in security
0シェア
FacebookTwitter
Google Play SecurityReward Programつい先日、Google Playで配信されていた人気アプリからマルウェアが拡散されているのが見つかりましたが、Googleも手をこまねているだけではないようです。Googleは、Google Playに登録されているアプリのバグや脆弱性の発見に報奨金を支払う、Google Play Security Reword Program(GPSRP)の拡張を発表しました。


バグ報奨プログラムは、良くある仕組みではありますが、GPSRPではGoogle製以外のサードパーティアプリに対しても報奨が支払われるのが特徴です。2017年から実施されていますが、これまで対象となっていたのは人気があるごく一部のアプリだけ。しかし、この制限を撤廃し、Google Playで1億インストール以上されているアプリが報奨の対象となりました。

これまで、GPSRPの対象となるには、アプリ開発者からの参加登録が必要で、バグを見つけた場合にも、Googleに連絡をするのではなく、まずアプリ開発者への連絡が必要でした。そして実際にバグ修正が行われると、報奨の請求が行える仕組みです。しかし今後はアプリ開発者側からの参加登録がなくとも、1億インストール以上されているアプリがGPSRPの対象となり、最大で2万ドル(約230万円)の報奨金が支払われます。

アプリ開発者としては、積極的にバグ発見を行ってもらう動機づけになるとともに、GoogleもGoogle Playをより安全にできるというわけです。

また、GPSRPとは別に、AndroidアプリやChrome拡張などのデータ不正利用発見に対する報奨プログラムDeveloper Data Protection Reward Program(DDPRP)も開始されました。

こちらは、バグや脆弱性ではなく、ユーザーデータの悪用を発見するためのもの。検証可能な方法で明確な証拠を提供できた場合に報奨の対象となります。報奨金は、最大で5万ドル(約530万円)になるとのことです。

そして、ユーザーデータが予期せずに使用または販売されていたり、ユーザーの同意なし不正な方法で転用されていたりするのを特定した場合には、そのアプリはGoogle PlayやGoogle Chrome Web Storeから削除されます。


 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: bug bounty, gear, google, google play, internet, mobile, security
0シェア
FacebookTwitter

Sponsored Contents