Google bietet 38.000 Dollar für Android-Sicherheitslücken

16. Juni 2015, 14:25
1 Posting

Start des Bug-Bounty-Programms mit Nexus 6 und 9 - Offensivere Sicherheitschecks vor Aufnahme in Play Store

Mehr als 4 Millionen US-Dollar hat Google in den letzten Jahren an Sicherheitsforscher ausgezahlt, die Lücken in der eigenen Software aufgespürt haben. Durch den finanziellen Anreiz will das Unternehmen Sicherheitsprobleme frühzeitig entdecken, und so auch verhindern, dass entsprechende Exploits gewinnbringend an Dritte verkauft werden.

Android

Nun erweitert Google sein Sicherheitsprogramm einmal mehr und zwar um die Android Security Rewards. Bis zu 38.000 US-Dollar gibt es für bislang unbekannte Sicherheitslücken in dem Betriebssystem. Dies umfasst den vollständigen AOSP-Code, proprietäre Bibliotheken und Treiber der OEMs sowie den Kernel und das ARM Trustzone OS.

Auswahl

Zum Start unterstützt Google nur die Bug-Suche auf zwei ausgewählten Geräten, dem Nexus 6 und dem Nexus 9. Mit der Zeit soll diese Liste aber ausgeweitet werden, gültig sind dabei immer nur Exploits gegen die aktuellste Softwareversion.

90 Tage

Wer die Prämie kassieren will, muss sich verpflichten den Bug zunächst nicht öffentlich zu machen. Dabei will sich Google an die selben Standards halten, die man im Rahmen des Project Zero auch von anderen erwartet: Das diesbezügliche Zeitfenster wird mit 90 Tagen angegeben, sollte das Unternehmen bis dahin noch kein Update geschnürt haben, dürfen die Details trotzdem öffentlich gemacht werden.

Check

Aber auch sonst will Google die Sicherheit rund um Android weiter verbessern: Wie The Next Web berichtet, sollen die Sicherheitschecks des Play Stores verschärft werden. So sollen etwa künftig App-Updates nicht mehr angenommen werden, wenn diese verwundbare Versionen von OpenSSL nutzen. (apo, 16.6.2015)

  • Artikelbild
    foto: andreas proschofsky / standard
Share if you care.