Googleは2018年1月17日(米国時間)、「Google Online Security Blog: Android Security Ecosystem Investments Pay Dividends for Pixel」において、Android向けのバグバウンティプログラム(Android Security Rewards:脆弱性報奨金制度))で過去最高金額となる11万2500万米ドルの報奨金が決まったと発表した。
支払いの対象となった脆弱性はQihoo 360 Technologyで、Alpha TeamのGuang Gong氏が2017年8月に報告した遠隔攻撃に関するもの。Googleは2017年6月にASRの報奨金最高金額を引き上げており、引き上げ後初の該当事項になったという。
報奨金はASRの提供する10万5000米ドルとChromeリワードプログラムからの7500米ドルを合計した11万2500米ドルとされている。該当する脆弱性は2017年12月のセキュリティアップデートですでに修正されている。
-
PoCコードの一部 - 資料: Google
バグバウンティプログラムは脆弱性の発見に役立っている。先日、HackerOneが発表した報告書によれば、主に米国で開催されているバグバウンティプログラムに世界中のセキュリティ研究者やハッカーが参加。バグバウンティプログラムで与えられる報奨金がプログラマーの給与よりも大きな金額になっている国や地域が多いことが、バグバウンティプログラムへ多くのセキュリティ研究者やハッカーが参加する動機の1つになっている。
