グーグルは11月21日、「Pixel 3」と「Pixel 4」をリモートから攻撃し、定常的にアクセスすることに成功したハッカーに対して100万ドルを支払うと発表した。ハッカーは、グーグルのセキュリティチップ「Titan M」を無効化する必要がある。
Titan Mは、iPhoneのセキュアエレメントに似たセキュリティチップで、端末上のデータを保護する役割を果たす。例えば、ハッカーがAndroid端末の起動時にマルウェアに感染させようと試みても、Titan Mがそれを防ぎ、パスワードを保護してくれる。
グーグルはまた、Androidのデベロッパープレビュー版で脆弱性を発見した研究者に最大150万ドルを支払い、このバージョンにハッキングできた場合は50%のボーナスを支払うとしている。アップルも8月に同様のプログラムを発表している。
「Android Qをリリースしたことを受け、特定のデベロッパープレビュー版で報奨金プログラムを実施する」とAndroidセキュリティチームのJessica Linは述べている。
また、データ窃盗やロックスクリーン迂回など特定の攻撃に対して最大50万ドルの賞金が支払われるという。報奨金プログラムの詳細は、「Android Security Rewards Program Rules」ページに記載されている。対象となるデバイスは、Androidの最新バージョンを搭載したPixel端末だ。
高額化するバグ報奨金
世界の大手テック企業は、デバイスのセキュリティ向上に貢献した善玉ハッカーに支払う報奨金を増額している。グーグルは、過去12ヶ月で150万ドルをセキュリティ研究者に支払ったという。
これまでに同社がAndroid Security Rewardsプログラムを通じて単独の研究者に支払った最高額は16万1337ドルだ。受賞したのはGuang Gongという人物で、Pixel 3をワンクリックで乗っ取るツールを開発した。Gongは、Chromeのバグ報奨金プログラム「Chrome Rewards」からも4万ドルを受け取っており、グーグルは合計20万1337ドルを彼に支払っている。
