Android-Lücken machen schon 10 Prozent aller Google-Prämien aus

Google hat im vergangenen Jahr etwas über 2 Millionen Dollar an Sicherheitsforscher gezahlt, die es auf Lücken in seinem Code hinwiesen. Der Jahresbericht vermerkt auch, dass davon 200.000 Dollar – also nahezu 10 Prozent – für Android-Lücken ausbezahlt wurden. Das Android-Prämienprogramm existiert aber erst seit sechs Monaten.

Die Ankündigung war Mitte Juni 2015 erfolgt. Hinweise auf Schwachstellen in Android belohnt Google seither im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet es bis zu 8000 Dollar aus. Bestimmte Remote-Exploits für Zugriff aus der Ferne bringen 30.000 Dollar Aufschlag. Die Lücken müssen auf Googles eigenen Nexus-Smartphones vorhanden sein.

Die Ankündigung kam zum richtigen Zeitpunkt, weniger als einen Monat vor Entdeckung der ersten StageFright-Lücke, über die per MMS (und je nach Konfiguration sogar, ohne dass der Anwender die MMS selbst abrief) Datendiebstahl ermöglichte. Das Sicherheitsproblem veranlasste Google und Hersteller wie LG oder Samsung dazu, monatliche Patches zumindest für Flaggschiff-Modelle einzurichten.

Ein Prämienprogramm unterhält Google seit 2010. Es dient der Sicherheit von Programmen wie dem Browser Chrome, aber auch von Google-Sites wie Google.com und Youtube. Seit dem Start hat Google nach eigenen Angaben 6 Millionen Dollar ausgeschüttet. 2014 waren es 1,5 Millionen Dollar gewesen.

Die Höhe der Prämien für einzelne Lücken macht Google nur im Fall von Chrome öffentlich. Dass es die Höhe der Android-Prämien angibt, stellt allein schon eine Ausnahme dar. Zudem nannte es die bisher höchste Android-Prämie, nämlich 37.500 Dollar.

Auf dem freien (wenngleich umstrittenen) Markt für Sicherheitslücken – etwa bei Zerodium – bringt eine aus der Ferne nutzbare Jailbreak-Lücke in Android bis zu 100.000 Dollar, also fast das Dreifache der von Google gezahlten Prämie.

Die erste Android-Prämie ging Google zufolge im August an einen Forscher namens Wish Wu. Für Googles Sicherheitsteam kommentierte Eduardo Vela Nava, Android habe „sofort bedeutende Wirkung ausgeübt, als es Teil des Programms wurde.“ Zum Vergleich: Microsoft hat zwischen 2013 und 2015 insgesamt 500.000 Dollar Sicherheitsprämien ausgeschüttet; es könnte bald von Android allein überflügelt werden.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de