Android Authorityは8月19日(カナダ時間)、「Google Play will no longer pay to discover vulnerabilities in popular Android apps - Android Authority」において、GoogleがGoogle Playセキュリティリワードプログラム(GPSRP: Google Play Security Reward Program)を今月末に終了すると伝えた。Google Playセキュリティリワードプログラムは、Google Playから配信されるアプリの脆弱性発見を目的にした報奨金プログラム。

同プログラムは一部の研究者向けに2017年10月に開始され、2019年には条件付きで対象者と報奨金を拡大していた。Googleは、このプログラムから報告される対処可能な脆弱性が減少したとして終了を決定した(参考:「Google Play Security Reward Program Rules - Rules - About - Google Bug Hunters」)。

Google Play will no longer pay to discover vulnerabilities in popular Android apps - Android Authority

○Googleはプログラム参加者にメールで通達

Googleはプログラムに参加している研究者に対し、メールで終了を伝えた。このメールによると、GoogleはAndroid OSのセキュリティ体制と機能を強化したことにより、コミュニティから報告される対処可能な脆弱性が減少したと伝えている。これはアプリの審査能力の向上や、Google Playプロテクトが有効に機能していることを示唆しているものとみられる。

Googleは2024年8月31日(米国時間)をもってレポートの受け入れを終了する。期日までに提出されたレポートは責任をもって処理され、プログラムの完全終了となる9月30日までに報奨金が決定される。

○一長一短

Android Authorityは、Googleの発表を「よい面と悪い面がある」と評価している。よい面としては人気アプリが軌道に乗り、十分に脆弱性が減少したと推測される点を挙げている。悪い面としては研究者の動機が失われ、重大な弱性を見逃す可能性がある点を挙げている。

Googleはメールの結びとして、プログラムに参加していた研究者に対し、「Android and Google Devices Security Reward Program」など他のプログラムへの参加を呼びかけている。このプログラムはアプリではなく、Googleデバイスの脆弱性発見を目的にした報奨金プログラムとなる。