Google App Store からダウンロードしたアプリケーションのセキュリティは、私たちが常に当然のことだと考えています。しかし、数時間前にCamScanner とそのアプリで経験したような出来事は、やるべきことがまだたくさんあることを浮き彫りにしています。
アプリケーションが内部に「マルウェア」を隠し、Google Play ストアの削除を引き起こしたことが、マウンテン ビュー社が提供する保護システムの改善を決定する動機となったようです。そしてこの場合、悪意のあるコードを含むアプリを見つけた人に報酬を与えるものを拡張することでそれを実現します。
今や1億ダウンロードのアプリも
そして Google は、この種の脅威検索の対象範囲を拡大すると発表しました。これにより、エラーやリスクを発見した場合の報奨金システムは、ダウンロード数が 1 億以上のすべてのアプリケーションが対象となるためです。
Google Play Security Rewards Program (GPSRP) と呼ばれるこのシステムは長い間存在していましたが、最大の目的は、研究者に報酬を通じて重要な脆弱性を発見するよう奨励することでした。新しい開発者データ保護報酬プログラム(DDPRP) の登場により改善された、指名手配、デッドオアアライブのようなもの。
その目的を達成するために、Google Play にはHackerOneがあり、最も人気のある Android アプリケーション開発者が参加しています。これらは、初期のかなり小規模なグループから時間の経過とともに拡大しました。
違いは、進行方法が変更され、以前はアプリケーション開発者自身のプログラムに送信された脆弱性を介してのみ報酬にアクセスできましたが、現在では開発者は Google Play に直接 1 億回以上ダウンロードされているアプリケーションの問題を明らかにできることです。セキュリティ報酬プログラム。
「Google Play 上の 1 億回以上インストールされたすべてのアプリを含むように、GPSRP の範囲を拡大しています。これらのアプリは、アプリ開発者が独自の脆弱性開示や報奨金プログラムを持っていない場合でも、報奨金の対象となるようになりました。」
開発者に通知されると、同社は開発者と協力してこれらのエラーを修正します。さらに、アプリケーション開発者が脆弱性の公開またはバグ報奨金プログラムを持っている場合は、開発者が過去 90 日間に脆弱性が修正されたことをすでに確認している限り、このプログラムから報奨金を申請できます。アプリのインストール数は 1 億以上である必要があります。
これらのプログラムは、「ユーザー データが不適切に使用されたり、ユーザーの同意なしに不正に再利用されたりする状況」を対象としており、マルウェアによってアプリケーションが Google Play 上に存在し続けることを可能な限り阻止しようとします。 、それらはできるだけ早く発見されます。
詳細情報 | Google ブログ