Google zahlt ab sofort auch Prämien für in seinem Mobilbetriebssystem Android gefundene Sicherheitslücken. Hinweise auf Schwachstellen belohnt es im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet der Internetkonzern aber bis zu 8000 Dollar aus.
Anfänglich können allerdings nur Fehler eingereicht werden, die die aktuell im Google Play Store erhältlichen Nexus-Geräte betreffen, also das Smartphone Nexus 6 und das Tablet Nexus 9. Geld gibt es nach Angaben des Unternehmens aber nicht nur für Details zu Sicherheitslücken, sondern auch für durchgeführte Tests oder gar Patches, von denen das Android-Ökosystem profitiert.
Für einen als kritisch eingestuften Bug schüttet Google mindestens 2000 Dollar aus. Liefert ein Forscher auch einen CTS-Test oder einen Patch, gibt es 4000 Dollar. Wird beides durchgeführt, erhöht sich die Belohnung auf 8000 Dollar.
Weitere Aufschläge stellt Google für Hinweise auf Exploits in Aussicht, die die in Android integrierten Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR), NX und Sandboxing umgehen. Wird der Kernel über eine installierte App oder bei physischem Zugriff auf ein Gerät kompromittiert, bietet Google zusätzlich 10.000 Dollar an. Lässt sich ein solcher Angriff aus der Ferne ausführen, sind es 20.000 Dollar. Für Eingriffe in die TrustZone oder die Funktion Verified Boot steigt der Betrag sogar auf 30.000 Dollar.
Google weist darauf hin, dass Android weiterhin auch am Patch Rewards Program teilnimmt, das wiederum Beiträge zur Verbesserung der Sicherheit von Android und anderen Open-Source-Projekten belohnt. Darüber hinaus werde Google auch künftig den Hackerwettbewerb Mobile Pwn2Own finanziell unterstützen.
„Wie wir schon mehrfach betont haben, ist offene Sicherheitsforschung eine Schlüsselstärke der Android-Plattform“, schreibt Jon Larimer, Android Security Engineer, in einem Blogeintrag von Jon Larimer zum Android Security Rewards Program. „Je mehr Sicherheitsforschung sich auf Android konzentriert, je stärker wird es.“
Google zahlt seit 2010 an Finder von Sicherheitslücken in seinen Produkten Prämien aus. Im vergangenen Jahr schüttete das Unternehmen mehr als 1,5 Millionen Dollar an Sicherheitsforscher aus, die geholfen haben, Fehler in Chrome und anderen Google-Produkten zu beseitigen.
[mit Material von Kevin Tofel, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
