Google erhöht Prämien für gefundene Sicherheitslücken in Android

Das vor einem Jahr eingeführte Android-Prämienprogramm wird ausgebaut. Höhere Belohnungen winken für nach dem 1. Juni 2016 eingereichte Meldungen über Schwachstellen. Insgesamt wurden bislang 550.000 Dollar bezahlt für Berichte, die von 82 Sicherheitsforschern eingingen.

Google baut das vor einem Jahr eingeführte Android-Prämienprogramm aus und erhöht Belohnungen für Sicherheitsforscher, die es auf Lücken in seinem Code hinweisen. Die höheren Prämien winken nach dem 1. Juni 2016 eingereichten Meldungen über Schwachstellen.

(Bild: ZDNet.com)

33 Prozent mehr sind ausgelobt für einen Schwachstellenbericht hoher Qualität, zu dem ein Proof of Concept eingereicht wird. Als Beispiel nennt Google die Meldung einer kritischen Sicherheitslücke, für die 4000 statt bisher 3000 Dollar ausgezahlt wird. Liefern Sicherheitsforscher dazu noch einen CTS-Test oder einen Patch, dürfen sie mit zusätzlichen 50 Prozent rechnen. Die Prämie für einen Remote- oder Proximal-Kernel-Exploit erhöht sich von 20.000 auf 30.000 Dollar. Von bisher 30.000 auf 50.000 Dollar steigert sich die Belohnung für eine Remote-Exploit-Kette oder Exploits, die zur Kompromittierung von TrustZone oder Verified Boot führen.

Die Änderungen und zusätzliche Bedingungen sind den Programm-Richtlinien zu entnehmen. Weitere Hinweise gibt die Bug Hunter University. Aktualisiert wurden außerdem die Einstufungen für den Schweregrad einer Schwachstelle.

2015 hat Google über 2 Millionen Dollar an Sicherheitsforscher gezahlt für ihre Arbeit, die „unsere Dienste und das Web insgesamt sicherer machen“. In seinem Jahresbericht erwähnte es außerdem, dass davon 200.000 Dollar – also nahezu 10 Prozent – für Android-Lücken ausbezahlt wurden, obwohl das Android-Prämienprogramm erst seit sechs Monaten existierte. Inzwischen hat sich diese Summe auf 550.000 Dollar erhöht, die an 82 Personen ausbezahlt wurden. Damit entfielen durchschnittlich 2200 Dollar je Meldung über eine Android-Lücke und 6700 Dollar je beteiligten Sicherheitsforscher. 15 von ihnen erhielten über 10.000 Dollar. Einer kam sogar auf 75.750 Dollar für 26 eingereichte Berichte über Schwachstellen.

HIGHLIGHT

Memory Introspection für den Hypervisor: ein neues Sicherheitsframework für virtualisierte Umgebungen

Von den Mainframes der 1960er-Jahre bis zur gegenwärtigen cloud-orientierten Entwicklung haben sich Rechenzentren enorm gewandelt. Als Anwendungen missionskritisch wurden und Desktopserver in professionelle Rechenzentren umgezogen wurden, nahm die Anzahl physischer Server in den Rechenzentren exponentiell zu.

Mehr als ein Drittel der über 250 Meldungen galten Schwachstellen im Media Server. In Android N wurde er inzwischen durch einen verbesserten Schutz bei der Medienverarbeitung gehärtet. Das modulare Konzept des Mediastack soll in Zukunft besser vor Angriffen schützen.

Die Ankündigung eines eigenen Prämienprogramms für Android kam zum richtigen Zeitpunkt, weniger als einen Monat vor Entdeckung der ersten StageFright-Lücke, über die per MMS (und je nach Konfiguration sogar, ohne dass der Anwender die MMS selbst abrief) Datendiebstahl ermöglichte. Das Sicherheitsproblem veranlasste Google und Hersteller wie LG oder Samsung dazu, monatliche Patches zumindest für Flaggschiff-Modelle einzurichten.

Ein Prämienprogramm unterhält Google seit 2010. Es dient der Sicherheit von Programmen wie dem Browser Chrome, aber auch von Google-Sites wie Google.com und Youtube. Seit dem Start hat Google nach eigenen Angaben 6 Millionen Dollar ausgeschüttet.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Neueste Kommentare 

Noch keine Kommentare zu Google erhöht Prämien für gefundene Sicherheitslücken in Android

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *