Android脆弱性発見者への賞金、最難関の脆弱性は20万ドルに
最高額の賞金が設定されている脆弱性については、過去2年の間、該当者がいなかったことから、賞金の額を一挙に引き上げた。
米Googleは6月1日、Androidの脆弱(ぜいじゃく)性情報に賞金を支払う制度の創設から2年目を迎え、これまでの成果を総括するとともに、賞金の最高額を引き上げるなどの変更を発表した。セキュリティアップデートが行き渡っているメーカーやモデル名も公表している。
Googleのブログによると、同制度の2年目は基準を満たす脆弱性報告が450件以上寄せられ、研究者1人当たりに支払った賞金の平均は52.3%増加。支払った賞金の総額は110万ドルへと倍増した。
一方で、リモートから悪用してセキュリティ機能の「TrustZone」または「Verified Boot」をかわすことのできる脆弱性については、最高額の賞金が設定されているものの、過去2年の間、該当者がいなかったという。
そこで6月1日から実施した変更の中で、この脆弱性の発見者に支払う賞金を5万ドルから20万ドルに引き上げると発表。また、リモートカーネルエクスプロイトの脆弱性についても、賞金の額を3万ドルから15万ドルへと引き上げた。
Androidのセキュリティを巡っては、脆弱性を修正する月例セキュリティアップデートの配信が端末のメーカーなどに委ねられているため、行き渡るのに時間がかかる問題も指摘されてきた。
これについてGoogleは、「100以上のデバイスモデルは、デプロイされているデバイスの大多数で過去90日のセキュリティアップデートが適用されている」と報告。デバイスの大多数で過去2カ月のアップデートが適用されているモデルの一覧を、メーカーごとに紹介している。
関連記事
- GoogleがAndroidの脆弱性を募る新コンペ、優勝者に2000万円
Android端末の電話番号と電子メールアドレスが分かっただけでリモートからコードを実行できてしまう脆弱性や不具合の報告を募る。 - Google、脆弱性発見者への最高賞金を倍増に
脆弱性を発見した研究者に支払う賞金の最高額を、これまでの5万ドルから10万ドルに引き上げる。 - Androidの月例セキュリティ情報を公開 MediaserverやGIFLIBに重大な脆弱性
Androidの5月の月例パッチは「2017-05-01」「2017-05-05」の2本で構成され、2017年5月5日以降のセキュリティパッチレベルで全ての問題が修正される。 - Android端末の約半数、2016年中に更新されず
Googleの年次報告書によると、2016年末の時点で使われていた端末のうち、同年中にプラットフォームセキュリティアップデートを受け取っていなかった端末は約半数に上った。 - 広告を悪用するAndroidマルウェア「Chamois」、Googleが阻止
Chamoisはポップアップ広告を通じて詐欺的な画像を表示する手口でユーザーをだましてクリックを誘い、不正なアプリをインストールさせようとしていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.