GoogleがAndroidアプリの脆弱性を報告した開発者に報奨金を支払う「Google Play Security Reward Program」を2024年8月31日で終了することを発表

Googleは2017年10月から、Androidアプリの脆弱(ぜいじゃく)性を特定して報告したセキュリティ研究者に対して報奨金を支払う「Google Play Security Reward Program(GPSRP)」と呼ばれるプログラムを実施していました。しかしGoogleは2024年8月31日をもってGPSRPを終了することを開発者らに伝えています。

Google Play Security Reward Program Rules - Rules - About - Google Bug Hunters
https://bughunters.google.com/about/rules/android-friends/5604090422493184/google-play-security-reward-program-rules

Google Play will no longer pay to discover vulnerabilities in popular Android apps - Android Authority
https://www.androidauthority.com/google-play-security-reward-program-winding-down-3472376/

Google won’t pay for vulnerabilities discovered in Play Store Android apps
https://www.androidheadlines.com/2024/08/google-wont-pay-for-vulnerabilities-discovered-in-play-store-android-apps.html

Google Play ends rewards for Android app bug hunters - PhoneArena
https://www.phonearena.com/news/google-ends-rewards-for-android-app-bug-hunters_id161552

2017年10月に開始されたGPSRPは当初、Google Playストアで入手可能なAndroidアプリにおいて、リモートでのコード実行や個人データの漏えいにつながる脆弱性を報告することが可能で、脆弱性を報告した開発者には最大5000ドル(約73万円)もの報奨金が支払われていました。

GPSRPは当初、一部の開発者のみ利用できましたが、その後Googleは利用可能な開発者や対象のアプリの制限を緩和。2019年7月には報奨金の支払額を最大2万ドル(約292万円)に引き上げており、Googleによると、2019年時点でのべ30万人以上の開発者がGoogle Playで100万以上のアプリを修正し、26万5000ドル以上の報奨金が支払われたとのことです。

しかしGoogleは2024年8月31日をもってGPSRPを終了することを発表。終了の理由としてGoogleは「Androidのセキュリティ機能が強化され、脆弱性が減少しているため」と述べ、GPSRPを利用してきた開発者らに感謝の意を示しています。

さらにGoogleは「GPSRPから多くの脆弱性データを収集し、この知識を利用してGoogle Playで利用可能な全てのアプリをスキャンすることで同様の脆弱性を検出する自動チェックを作成しました」と報告しています。

なお、GoogleによるとAndroidおよびGoogleデバイスのセキュリティ報酬プログラムは引き続き利用可能とのことです。