Prämienprogramm: Google zahlt jährlich rund eine Million Dollar für Android-Sicherheitslücken

Insgesamt schüttet Google in drei Jahren drei Millionen Dollar aus. Die höchste bisher gezahlte Prämie liegt bei 105.000 Dollar. Durchschnittlich erhielt jeder Forscher zuletzt 12.500 Dollar.

Google hat neue Zahlen zu seinem Bonusprogramm für Android-Sicherheitslücken veröffentlicht. Seit dessen Start im Jahr 2015 schüttete das Unternehmen Prämien in Höhe von rund drei Millionen Dollar aus – oder rund eine Millionen Dollar pro Jahr. Allein im vergangenen Jahr erhielt Google 470 Meldungen zu Schwachstellen, die sich für das Prämienprogramm qualifizierten. Die durchschnittliche Zahlung pro Forscher erhöhte sich zudem um 23 Prozent.

Security Android (Bild: ZDNet mit Material von Shutterstock/Mikko-Lemola und Google)Allein im dritten Jahr des Android Security Rewards genannten Programms beteiligten sich 99 Personen oder Organisationen mit einer oder mehreren Schwachstellen. Pro Meldung schüttete Google durchschnittlich 2600 Dollar aus. Jeder Forscher erhielt urchschnittlich 12.500 Dollar.

Die höchste mögliche Prämie von 200.000 Dollar wurde bisher jedoch nicht gezahlt. Sie ist für eine Exploit-Kette ausgelobt, die es erlaubt, aus der Ferne die TrustZone oder den verifizierten Bootvorgang zu kompromittieren. Der bisher höchste Betrag – 105.000 Dollar – ging an den Forscher Guang Gong von Qihoo 360 Technology. Er reichte die erste funktioniere Exploit-Kette ein. Mithilfe von zwei Anfälligkeiten knackte er ein Pixel-Smartphone.

Seit Oktober 2017 belohnt Google aber auch Forscher, die sich mit beliebten Apps im Play Store beschäftigten. Mehr als 30 Anfälligkeiten wurden seitdem gemeldet, für die Google mehr als 100.000 Dollar bezahlte. Sie hätten nach Angaben des Unternehmens eine nicht autorisierte Ausweitung von Nutzerrechten, den Zugriff auf vertrauliche Daten oder sogar das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht.

Darüber hinaus betonte Google, dass die Zusammenarbeit mit seinen Partnern auch die Versorgung mit Sicherheitsupdates verbesserte habe. Bei inzwischen mehr als 250 Smartphone-Modellen habe zumindest die Mehrheit der aktiven Geräte in den vergangenen 90 Tagen ein Sicherheitsupdate erhalten. Wie hoch der Anteil der mit Sicherheitspatches versorgten Geräte an allen noch im Einsatz befindlichen Android-Smartphones ist, ließ Google indes offen.

Die aktuellen Zahlen zur Verteilung der Android-Versionen legen jedoch die Vermutung nahe, dass der Anteil bei unter 50 Prozent liegt. Mitte September hatten die Android-Versionen bis einschließlich Android 6 Marshmallow einen Anteil von über 54 Prozent – Marshmallow-Geräte wird jedoch kein Hersteller derzeit noch mit Patches versorgen. Davon ausgehend, das nicht einmal alle Nougat-Geräte in den vergangenen drei Monaten ein Sicherheitsupdate erhalten haben, dürfte der Anteil der potentiell unsicheren Geräte deutlich höher sein.

Gefahr ohne Sicherheitspatches?

Wie eine Analyse des bekannten deutschen IT-Sicherheitsspezialisten Karsten Nohl ergab, schlampen einige Smartphonehersteller bei der Integration der von Google monatlich veröffentlichen Sicherheitspatches. Allerdings reichen ein paar vergessene Sicherheitspatches nicht aus, um ein Android-Smartphone zu kompromittieren: Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt.

„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagt Nohl. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Themenseiten: Android, Betriebssystem, Google, Security, Sicherheit, Smartphone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Prämienprogramm: Google zahlt jährlich rund eine Million Dollar für Android-Sicherheitslücken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *