GoogleがAndroidのバグ発見者に最大1億6000万円を支払うと発表
by maxxyustas
GoogleがAndroidの脆弱(ぜいじゃく)性報奨金プログラムAndroid Security Rewardsの拡充を発表しました。この変更により、Androidにおける脆弱性の発見者に対し、最大150万ドル(約1億6000万円)が支払われることとなります。
Google Online Security Blog: Expanding the Android Security Rewards Program
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html
https://arstechnica.com/information-technology/2019/11/google-will-pay-1-5-million-for-the-severest-android-exploits/
Googleが新しくAndroid Security Rewardsの対象に加えたのが、「Titan M」に関する脆弱性です。Titan Mとは、Pixel 3以降のGoogle製スマートフォンに採用されているセキュリティチップで、Googleは「Titan Mを搭載したPixelシリーズはスマートフォンで最高のレベルのセキュリティ」と太鼓判を押しています。
Titan Mの詳細については以下の記事に詳しく書かれています。
Google Pixel 3はデータセンターレベルの独自セキュリティチップ「Titan M」を搭載、ソフト&ハードで最高のスマホセキュリティを確保 - GIGAZINE
Googleは「PixelシリーズのTitan Mセキュアエレメントを侵害する永続性を備えた、フルチェーン(ユーザーの追加操作を必要としない)のリモートコード実行エクスプロイトに対して、最高で100万ドル(約1億865万円)を支払います」と発表。同時に、Androidの特定の開発者向けプレビュー版で発見されたエクスプロイトには50%のボーナスを上乗せする仕組みを新設しました。これにより、開発者向けプレビュー版AndroidでTitan Mを侵害するエクスプロイトを発見できれば、最大で150万ドル(約1億6000万円)の報奨金を得ることができるようになります。
また、エクスプロイトとは別に、ロック画面の回避や重要なデータの漏えいにつながるTitan Mの不具合に対しては50万ドル(約5433万円)、Titan M以外では25万ドル(約2716万円)の報奨金も用意されており、2つの不具合に対する報奨金の合計額は75万ドル(約8150万円)となります。
この発表について、セキュリティ研究者のSaleem Rashid氏は「脆弱性買取会社のZerodiumはiOSやAndroidでのロック画面回避にたった10万ドル(約1086万円)を支払っていますが、Googleはその7.5倍(!)も支払います」と指摘。
for context: Zerodium will only pay $100,000 for a lockscreen bypass on either iOS or Android.
Google are offering up to 7.5(!) times as much pic.twitter.com/38S6h1QO2K— Saleem Rashid (@saleemrash1d) November 21, 2019
さらに「思うに、我々はiOSとAndroidのセキュリティにおけるパラダイムシフトの瞬間に立ち会っています」とツイートして、Googleの新たな取り組みを称賛しました。
i think we're in the midst of an iOS/Android security paradigm shift https://t.co/N7UXaDHEc2— Saleem Rashid (@saleemrash1d) November 21, 2019