Android脆弱性発見者への賞金、最難関の脆弱性は20万ドルに
最高額の賞金が設定されている脆弱性については、過去2年の間、該当者がいなかったことから、賞金の額を一挙に引き上げた。
米Googleは6月1日、Androidの脆弱(ぜいじゃく)性情報に賞金を支払う制度の創設から2年目を迎え、これまでの成果を総括するとともに、賞金の最高額を引き上げるなどの変更を発表した。セキュリティアップデートが行き渡っているメーカーやモデル名も公表している。
Googleのブログによると、同制度の2年目は基準を満たす脆弱性報告が450件以上寄せられ、研究者1人当たりに支払った賞金の平均は52.3%増加。支払った賞金の総額は110万ドルへと倍増した。
一方で、リモートから悪用してセキュリティ機能の「TrustZone」または「Verified Boot」をかわすことのできる脆弱性については、最高額の賞金が設定されているものの、過去2年の間、該当者がいなかったという。
そこで6月1日から実施した変更の中で、この脆弱性の発見者に支払う賞金を5万ドルから20万ドルに引き上げると発表。また、リモートカーネルエクスプロイトの脆弱性についても、賞金の額を3万ドルから15万ドルへと引き上げた。
Androidのセキュリティを巡っては、脆弱性を修正する月例セキュリティアップデートの配信が端末のメーカーなどに委ねられているため、行き渡るのに時間がかかる問題も指摘されてきた。
これについてGoogleは、「100以上のデバイスモデルは、デプロイされているデバイスの大多数で過去90日のセキュリティアップデートが適用されている」と報告。デバイスの大多数で過去2カ月のアップデートが適用されているモデルの一覧を、メーカーごとに紹介している。
関連記事
GoogleがAndroidの脆弱性を募る新コンペ、優勝者に2000万円
Android端末の電話番号と電子メールアドレスが分かっただけでリモートからコードを実行できてしまう脆弱性や不具合の報告を募る。
Google、脆弱性発見者への最高賞金を倍増に
脆弱性を発見した研究者に支払う賞金の最高額を、これまでの5万ドルから10万ドルに引き上げる。
Androidの月例セキュリティ情報を公開 MediaserverやGIFLIBに重大な脆弱性
Androidの5月の月例パッチは「2017-05-01」「2017-05-05」の2本で構成され、2017年5月5日以降のセキュリティパッチレベルで全ての問題が修正される。
Android端末の約半数、2016年中に更新されず
Googleの年次報告書によると、2016年末の時点で使われていた端末のうち、同年中にプラットフォームセキュリティアップデートを受け取っていなかった端末は約半数に上った。
広告を悪用するAndroidマルウェア「Chamois」、Googleが阻止
Chamoisはポップアップ広告を通じて詐欺的な画像を表示する手口でユーザーをだましてクリックを誘い、不正なアプリをインストールさせようとしていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。