パスワードを忘れた? アカウント作成
13994825 story
Android

Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 5

ストーリー by hylom
拡大だけど広くはない 部門より

headless曰く、

Googleは8月29日、Google Playの脆弱性報告報奨金プログラム「Google Play Security Reward Program(GPSRP)」の対象拡大と、新しい報奨金プログラム「Developer Data Protection Reward Program(DDPRP)」を発表した(Android Developers BlogAndroid PoliceVentureBeatThe Register)。

これまでGPSRPではGoogle製のアプリおよびプログラム参加企業/開発者のアプリのみが対象となっていたが、今後はGoogle Playでのインストール件数が1億回を超えているすべてのアプリが対象となる。これによりアプリ開発者が報奨金プログラムを用意していない場合でも、Googleが開発者に対する脆弱性の責任ある開示の手助けをする。開発者が脆弱性を認めた場合、報告者はGoogleに報奨金を請求できる。開発者が報奨金プログラムを用意している場合、報告者は開発者からの報奨金に加えてGoogleからの報奨金も受け取ることが可能となる。

GoogleはGPSRPを通じて得た脆弱性情報から自動化された検査項目を生成し、同様の脆弱性をGoogle Playで公開されているすべてのアプリでスキャンする。脆弱性が発見された場合はApp Security Improvement(ASI)プログラムの一環としてPlay Consoleを通じて開発者に通知し、修正内容などの情報を提供するとのこと。

DDPRPはAndroidアプリやOAuthプロジェクト(Google API)、Chrome拡張によるユーザーデータ不正利用の発見・報告に対する報奨金プログラムだ。たとえば、ユーザーデータを暗号化せずに送信することや、ユーザーデータの無断収集、ユーザーデータの目的外使用などが該当する。Androidアプリの場合はGoogle Playストアで1億回以上インストールされていること、Google APIとChrome拡張の場合はユーザーが5万人以上いることが報奨金の条件となる。

  • by Anonymous Coward on 2019年09月03日 16時51分 (#3679527)

    スラドアプリの総インストール数が1億を超えたおかげで報奨金を受け取る事が
    出来るようになった(但し誤字は脆弱性には含まれない)という記事が載りそうだ。

    ここに返信
    • by Anonymous Coward

      (但し誤字は脆弱性には含まれない)という記事が載りそうだ。

      脱字も含まれないが脱毛保証への声は高いみたいな

  • by Anonymous Coward on 2019年09月03日 17時32分 (#3679562)

    なるほど、1億回以上インストールされるアプリをつくって、それに脆弱性を仕込めば一攫千金も夢ではないという事か!

    ここに返信
    • by Anonymous Coward

      なるほど、1億回以上インストールされるアプリをつくって、

      ボットネットなり仮想かなりでばれないようにすれば
      利用者お一人様でも不可能ではないね

      /*
      1億で人生棒に振るか否か
      逮捕自叙伝まで含めたら
      まさに自作自演
      */

      • by Anonymous Coward

        複垢オッケーなゲームアプリ(例えばロードモバイルとか)で何十個もアカウント作ってもバンされてない悪質なユーザーがいるなら、インストール数なんか当てにならないね

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...