Google zahlt ab sofort auch Prämien für in seinem Mobilbetriebssystem Android gefundene Sicherheitslücken. Hinweise auf Schwachstellen belohnt es im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet der Internetkonzern aber bis zu 8000 Dollar aus.
Anfänglich können allerdings nur Fehler eingereicht werden, die die aktuell im Google Play Store erhältlichen Nexus-Geräte betreffen, also das Smartphone Nexus 6 und das Tablet Nexus 9. Geld gibt es nach Angaben des Unternehmens aber nicht nur für Details zu Sicherheitslücken, sondern auch für durchgeführte Tests oder gar Patches, von denen das Android-Ökosystem profitiert.
Für einen als kritisch eingestuften Bug schüttet Google mindestens 2000 Dollar aus. Liefert ein Forscher auch einen CTS-Test oder einen Patch, gibt es 4000 Dollar. Wird beides durchgeführt, erhöht sich die Belohnung auf 8000 Dollar.
Weitere Aufschläge stellt Google für Hinweise auf Exploits in Aussicht, die die in Android integrierten Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR), NX und Sandboxing umgehen. Wird der Kernel über eine installierte App oder bei physischem Zugriff auf ein Gerät kompromittiert, bietet Google zusätzlich 10.000 Dollar an. Lässt sich ein solcher Angriff aus der Ferne ausführen, sind es 20.000 Dollar. Für Eingriffe in die TrustZone oder die Funktion Verified Boot steigt der Betrag sogar auf 30.000 Dollar.
Google weist darauf hin, dass Android weiterhin auch am Patch Rewards Program teilnimmt, das wiederum Beiträge zur Verbesserung der Sicherheit von Android und anderen Open-Source-Projekten belohnt. Darüber hinaus werde Google auch künftig den Hackerwettbewerb Mobile Pwn2Own finanziell unterstützen.
„Wie wir schon mehrfach betont haben, ist offene Sicherheitsforschung eine Schlüsselstärke der Android-Plattform“, schreibt Jon Larimer, Android Security Engineer, in einem Blogeintrag von Jon Larimer zum Android Security Rewards Program. „Je mehr Sicherheitsforschung sich auf Android konzentriert, je stärker wird es.“
Google zahlt seit 2010 an Finder von Sicherheitslücken in seinen Produkten Prämien aus. Im vergangenen Jahr schüttete das Unternehmen mehr als 1,5 Millionen Dollar an Sicherheitsforscher aus, die geholfen haben, Fehler in Chrome und anderen Google-Produkten zu beseitigen.
[mit Material von Kevin Tofel, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…
Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…
Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…
Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…
Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…
