Android-Lücken: Google zahlte halbe Million Dollar an Sicherheitsforscher

17. Juni 2016, 14:22
6 Postings

Bilanz nach erstem Jahr des Bug-Bounty-Programms – Preisgelder werden nun erhöht

Während Google seit Jahren – mit großem Erfolg – ein Bug-Bounty-Programm für seinen Browser Chrome betreibt, hat man sich rund um das eigene Betriebssystem Android etwas länger Zeit gelassen. Vor einem Jahr schloss man diese Lücke, seitdem erhalten Sicherheitsforscher für jede gemeldete Lücke auch hier einen Geldbetrag, dessen Höhe von der Schwere des gemeldeten Problems abhängt.

Umfangreiche Prämien

Nun zieht Google eine erste Bilanz, und zeigt sich dabei mit dem Erreichten zufrieden. Insgesamt habe man im vergangenen Jahr 550.000 US-Dollar im Rahmen des Bug-Bounty-Programms ausgezahlt. Dieser Betrag verteilt sich auf 250 gemeldete Lücken und 82 unterschiedliche Personen. Spitzenreiter ist ein Mitarbeiter von Trend Micro, der 26 Lücken meldete und 75.750 Dollar erhielt.

Was allerdings ausblieb, war ein erfolgreiches Einstreifen der höchsten Prämie: 30.000 US-Dollar bot Google für eine Serie von Exploits mit denen Verified Boot oder die ARM TrustZone aus der Ferne kompromittiert werden können. Bislang ist dies aber offenbar noch niemandem gelungen.

Erhöhtes Preisgeld

Doch Google zieht nicht nur Bilanz, man erhöht auch gleich das ausgeschriebene Preisgeld. Für einen hochqualitativen Fehlerbericht samt Proof of Concept gibt es nun 4.000 statt 3.000 US-Dollar. Wer noch einen Patch zur Fehlerbereinigung oder einen CTS-Test mitliefert, bekommt 50 Prozent mehr. Für einen Kernel Exploit aus der Ferne gibt es nun 30.000 statt 20.000 Dollar. Und für die schon erwähnte Aushebelung der gesamten Trust Chain sind nun 50.000 US-Dollar zu haben.

Hintergrund

Mit solchen finanziellen Anreizen wollen Softwarehersteller einen Anreiz schaffen, Sicherheitslücken direkt bei ihnen zu melden, anstatt sie einfach so zu veröffentlichen oder gar über den Schwarzmarkt zu Geld zu machen. Voraussetzung für die Ausbezahlung der Prämie ist die Geheimhaltung des Problems bis zur Verfügbarkeit eines Patches.

Das Google-Programm deckt dabei jeweils nur die letzten Versionen des eigenen Betriebssystems ab, und die auch nur auf einigen ausgewählten Geräten. Aktuell sind dies Nexus 5X, Nexus 6P, Nexus 9 und Pixel C, also Smartphones und Tablets aus dem eigenen Haus, bei denen man auch selbst für die Softwarezusammenstellung verantwortlich zeichnet. (apo, 17.6.2016)

  • Android: Google zieht Bilanz über sein Bug-Bounty-Programm.
    foto: andreas proschofsky / standard

    Android: Google zieht Bilanz über sein Bug-Bounty-Programm.

Share if you care.