Google zahlt ab sofort auch Prämien für in seinem Mobilbetriebssystem Android gefundene Sicherheitslücken. Hinweise auf Schwachstellen belohnt es im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet der Internetkonzern aber bis zu 8000 Dollar aus.
Anfänglich können allerdings nur Fehler eingereicht werden, die die aktuell im Google Play Store erhältlichen Nexus-Geräte betreffen, also das Smartphone Nexus 6 und das Tablet Nexus 9. Geld gibt es nach Angaben des Unternehmens aber nicht nur für Details zu Sicherheitslücken, sondern auch für durchgeführte Tests oder gar Patches, von denen das Android-Ökosystem profitiert.
Für einen als kritisch eingestuften Bug schüttet Google mindestens 2000 Dollar aus. Liefert ein Forscher auch einen CTS-Test oder einen Patch, gibt es 4000 Dollar. Wird beides durchgeführt, erhöht sich die Belohnung auf 8000 Dollar.
Weitere Aufschläge stellt Google für Hinweise auf Exploits in Aussicht, die die in Android integrierten Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR), NX und Sandboxing umgehen. Wird der Kernel über eine installierte App oder bei physischem Zugriff auf ein Gerät kompromittiert, bietet Google zusätzlich 10.000 Dollar an. Lässt sich ein solcher Angriff aus der Ferne ausführen, sind es 20.000 Dollar. Für Eingriffe in die TrustZone oder die Funktion Verified Boot steigt der Betrag sogar auf 30.000 Dollar.
Google weist darauf hin, dass Android weiterhin auch am Patch Rewards Program teilnimmt, das wiederum Beiträge zur Verbesserung der Sicherheit von Android und anderen Open-Source-Projekten belohnt. Darüber hinaus werde Google auch künftig den Hackerwettbewerb Mobile Pwn2Own finanziell unterstützen.
„Wie wir schon mehrfach betont haben, ist offene Sicherheitsforschung eine Schlüsselstärke der Android-Plattform“, schreibt Jon Larimer, Android Security Engineer, in einem Blogeintrag von Jon Larimer zum Android Security Rewards Program. „Je mehr Sicherheitsforschung sich auf Android konzentriert, je stärker wird es.“
Google zahlt seit 2010 an Finder von Sicherheitslücken in seinen Produkten Prämien aus. Im vergangenen Jahr schüttete das Unternehmen mehr als 1,5 Millionen Dollar an Sicherheitsforscher aus, die geholfen haben, Fehler in Chrome und anderen Google-Produkten zu beseitigen.
[mit Material von Kevin Tofel, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
