セキュリティ

GoogleがAndroidのバグ発見者に最大1億6000万円を支払うと発表

by maxxyustas

GoogleがAndroidの脆弱(ぜいじゃく)性報奨金プログラムAndroid Security Rewardsの拡充を発表しました。この変更により、Androidにおける脆弱性の発見者に対し、最大150万ドル(約1億6000万円)が支払われることとなります。

Google Online Security Blog: Expanding the Android Security Rewards Program
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html

Google will pay $1.5 million for the most severe Android exploits | Ars Technica
https://arstechnica.com/information-technology/2019/11/google-will-pay-1-5-million-for-the-severest-android-exploits/

Googleが新しくAndroid Security Rewardsの対象に加えたのが、「Titan M」に関する脆弱性です。Titan Mとは、Pixel 3以降のGoogle製スマートフォンに採用されているセキュリティチップで、Googleは「Titan Mを搭載したPixelシリーズはスマートフォンで最高のレベルのセキュリティ」と太鼓判を押しています。

Titan Mの詳細については以下の記事に詳しく書かれています。

Google Pixel 3はデータセンターレベルの独自セキュリティチップ「Titan M」を搭載、ソフト&ハードで最高のスマホセキュリティを確保 - GIGAZINE


Googleは「PixelシリーズのTitan Mセキュアエレメントを侵害する永続性を備えた、フルチェーン(ユーザーの追加操作を必要としない)のリモートコード実行エクスプロイトに対して、最高で100万ドル(約1億865万円)を支払います」と発表。同時に、Androidの特定の開発者向けプレビュー版で発見されたエクスプロイトには50%のボーナスを上乗せする仕組みを新設しました。これにより、開発者向けプレビュー版AndroidでTitan Mを侵害するエクスプロイトを発見できれば、最大で150万ドル(約1億6000万円)の報奨金を得ることができるようになります。

また、エクスプロイトとは別に、ロック画面の回避や重要なデータの漏えいにつながるTitan Mの不具合に対しては50万ドル(約5433万円)、Titan M以外では25万ドル(約2716万円)の報奨金も用意されており、2つの不具合に対する報奨金の合計額は75万ドル(約8150万円)となります。

この発表について、セキュリティ研究者のSaleem Rashid氏は「脆弱性買取会社のZerodiumはiOSやAndroidでのロック画面回避にたった10万ドル(約1086万円)を支払っていますが、Googleはその7.5倍(!)も支払います」と指摘。


さらに「思うに、我々はiOSとAndroidのセキュリティにおけるパラダイムシフトの瞬間に立ち会っています」とツイートして、Googleの新たな取り組みを称賛しました。

この記事のタイトルとURLをコピーする

・関連記事
Google Pixel 3はデータセンターレベルの独自セキュリティチップ「Titan M」を搭載、ソフト&ハードで最高のスマホセキュリティを確保 - GIGAZINE

「脆弱性の買取」を行うZERODIUMが買い取り価格をアップ、iOSを遠隔で脱獄させる脆弱性は2億円以上 - GIGAZINE

Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」使用レビュー - GIGAZINE

Googleの2段階認証を構築する「Titan セキュリティ キー」にUSB Type-Cタイプが登場 - GIGAZINE

Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」が日本で登場 - GIGAZINE

in モバイル,   セキュリティ, Posted by log1l_ks

You can read the machine translated English article here.