Android アプリケーションのセキュリティ問題を見つけてお金を稼ぐ方法

Androidアプリ開発者でセキュリティ問題を発見する能力がある場合は、その才能を Google に披露することで収入を得ることができます。ハッカーはマルウェアに感染したアプリを Google Play ストアに持ち込んでおり、中には数百万回ダウンロードされるアプリもあります。

これに対応して、Google は開発者が多くの人気アプリケーションのセキュリティ上の問題を発見できるようにする Bug Bounty プログラム (ユーザーが発見した脆弱性に対する報奨金プログラム) を開始しました。以前は、いくつかのアプリのみが含まれていました。現在、すべての人気のある Play ストア アプリがプログラムの一部となっています。このプログラムは、セキュリティ問題を発見して報告した開発者に現金で報奨金を支払います。

Android アプリケーションのセキュリティ問題を見つける - Google から収益を得るチャンス

• Google はなぜバグ報奨金プログラムを作成したのですか?
• バグ報奨金プログラムに参加するにはどうすればよいですか?
• アプリ自体によるデータ不正使用を検出すると報酬を獲得できます
• 特定のバグを見つけた場合の報酬は何ですか?

Google はなぜバグ報奨金プログラムを作成したのですか?

Google は長い間、自社アプリに対してバグ報奨金プログラムを実施してきました。多くの企業と同様に、Google は Web サイトの問題を発見した開発者に報酬を提供しています。同社は、Chrome ブラウザまたは Chrome オペレーティング システムのバグを発見した場合に報奨金も提供しています。しかし最近、Google はさらに一歩進んで、他の多くの企業のアプリで見つかったバグに対しても報奨金を提供するようになりました。

Play ストアのバグ報奨金プログラムの最初のステップは、ごく少数の上位アプリにのみ適用されます。現在、Google はこのプログラムを拡張し、Play ストアで 1 億回以上インストールされているあらゆるアプリを対象にしています。これは、アプリ開発者がバグ プログラムを提供していない場合でも、バグ ハンターが Play ストア アプリの問題を発見し、報告することで報酬を得る機会が増えることを意味します。

Googleは、コミュニティが全員のセキュリティを向上させるために協力することを奨励することを期待して、上記のプログラムを導入したと述べた。したがって、Google はバグハンターが問題を発見し、アプリケーション開発者と Google に報告することを推奨しています。これにより、ネイティブ アプリ開発者はバグを迅速に修正する機会が得られます。これは、Android アプリを使用するすべての人にとってセキュリティが向上することを意味します。

バグ報奨金プログラムに参加するにはどうすればよいですか?

Play ストアのバグ報奨金プログラムは、Google Play セキュリティ報酬プログラム (GPSRP)と呼ばれます。 Google はセキュリティ研究者やアプリケーション開発者に参加を呼びかけています。最初のステップは、プログラムに参加するための申請フォームに記入することです。承認されると、Play ストア上の対象となるアプリでセキュリティ問題を検索できます。

参加者が探す脆弱性には 3 つのタイプがあります。まず、リモート コード実行の脆弱性は、ハッカーがユーザーのデバイスにアクセスして変更を加えることを可能にする脆弱性です。これらは非常に深刻なセキュリティ問題です。

2 つ目は、安全ではない個人データの盗難の問題です。この脆弱性により、ハッカーはログイン資格情報、Web 履歴、連絡先リストなどの個人情報を盗むことができます。

3 番目は、保護されたアプリケーション コンポーネントへのアクセスです。これは、許可されていない機能を実行するアプリケーションを指します。たとえば、アプリケーションは、ユーザーの許可がない場合でも SMS メッセージを送信します。

このプログラムは一部のセキュリティ問題をカバーしていません。たとえば、フィッシング攻撃は非常に危険である可能性がありますが、このプログラムの対象にはなりません。その理由は、悪意のあるコードを実行することではなく、ユーザーを欺くことによって動作するためです。このプログラムは、デバイスへの物理的アクセスを必要とする攻撃もカバーしていません。

エラーを発見した場合は、アプリ開発者に連絡して通知する必要があります。その後、その開発者と協力して問題を解決できます。脆弱性が解決されたら、Google に現金報酬をリクエストできます。

アプリ自体によるデータ不正使用を検出すると報酬を獲得できます

Google はセキュリティ バグの発見に対して報酬を提供するだけではありません。同社はまた、ユーザーデータを盗むアプリケーションを「抑制」しようとしている。最近、同社は開発者データ保護報酬プログラム (DDPRP)を開始しました。これは、アプリによるデータの悪用を発見した開発者に同様の報酬を提供します。

プログラムが探しているデータ悪用の種類は、Google のプライバシー ポリシーに反する方法でユーザー データを収集および販売するアプリです。たとえば、これは、機密データとして保護されずに、ユーザーの連絡帳から、誰にいつ電話したかに関するメタデータなどのデータを収集するアプリケーションである可能性があります。

このプログラムには、SMS にアクセスできるが、SMS ユーザーに関するデータを収集して第三者に販売するためにこれを使用するアプリなど、権限ルールに違反するアプリも含まれます。さらに、連絡先データへのアクセス許可を要求し、そのデータを無関係なアプリに再利用するアプリも含まれます。

プログラムの対象となるデータ不正使用の種類に関するより正確な詳細については、DDPRP Web サイトをご覧ください。バグ報奨金プログラムと同様に、Play ストア上で 1 億回以上インストールされているアプリはすべて対象となります。

特定のバグを見つけた場合の報酬は何ですか?

バグとデータ不正行為の検出プログラムの両方で賞金が授与されます。レポートに対して支払われる金額は、問題の重大度によって異なります。また、Google に送信されるレポートの品質にも依存します。

Google Play セキュリティ報酬プログラムの報酬は、リモート コード実行のバグに対して 5,000 ドルから 20,000 ドル、安全でない個人データの盗難に対して 1,000 ドルから 3,000 ドル、コンポーネントへのアクセスに対して 1,000 ドルから 3,000 ドルの範囲です。アプリケーション部分は保護されています。さらに、責任あるアプリケーション開発者には脆弱性を検出すると報酬が与えられます。これにより、開発者は問題を解決する機会が得られます。

開発者データ保護報酬プログラムの報酬範囲は 100 ドルから 1000 ドルです。報酬を受け取るにはレポートを提出する必要があります。どのデータ ポリシーに違反したか、データが悪用された方法、アプリがポリシーに違反した回数のリストに関する情報を明確に書き留める必要があります。

Google のデータ悪用およびエラー検出プログラムは、収益を得る機会を提供します。また、Play ストアを通じて配布されるアプリのセキュリティを向上させることもできます。より多くのバグハンティングの機会に興味がある場合は、他の会社のプログラムをチェックすることもできます。

幸運を！