Categories: MobileMobile OS

Prämienprogramm: Google zahlt jährlich rund eine Million Dollar für Android-Sicherheitslücken

Google hat neue Zahlen zu seinem Bonusprogramm für Android-Sicherheitslücken veröffentlicht. Seit dessen Start im Jahr 2015 schüttete das Unternehmen Prämien in Höhe von rund drei Millionen Dollar aus – oder rund eine Millionen Dollar pro Jahr. Allein im vergangenen Jahr erhielt Google 470 Meldungen zu Schwachstellen, die sich für das Prämienprogramm qualifizierten. Die durchschnittliche Zahlung pro Forscher erhöhte sich zudem um 23 Prozent.

Allein im dritten Jahr des Android Security Rewards genannten Programms beteiligten sich 99 Personen oder Organisationen mit einer oder mehreren Schwachstellen. Pro Meldung schüttete Google durchschnittlich 2600 Dollar aus. Jeder Forscher erhielt urchschnittlich 12.500 Dollar.

Die höchste mögliche Prämie von 200.000 Dollar wurde bisher jedoch nicht gezahlt. Sie ist für eine Exploit-Kette ausgelobt, die es erlaubt, aus der Ferne die TrustZone oder den verifizierten Bootvorgang zu kompromittieren. Der bisher höchste Betrag – 105.000 Dollar – ging an den Forscher Guang Gong von Qihoo 360 Technology. Er reichte die erste funktioniere Exploit-Kette ein. Mithilfe von zwei Anfälligkeiten knackte er ein Pixel-Smartphone.

Seit Oktober 2017 belohnt Google aber auch Forscher, die sich mit beliebten Apps im Play Store beschäftigten. Mehr als 30 Anfälligkeiten wurden seitdem gemeldet, für die Google mehr als 100.000 Dollar bezahlte. Sie hätten nach Angaben des Unternehmens eine nicht autorisierte Ausweitung von Nutzerrechten, den Zugriff auf vertrauliche Daten oder sogar das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht.

Darüber hinaus betonte Google, dass die Zusammenarbeit mit seinen Partnern auch die Versorgung mit Sicherheitsupdates verbesserte habe. Bei inzwischen mehr als 250 Smartphone-Modellen habe zumindest die Mehrheit der aktiven Geräte in den vergangenen 90 Tagen ein Sicherheitsupdate erhalten. Wie hoch der Anteil der mit Sicherheitspatches versorgten Geräte an allen noch im Einsatz befindlichen Android-Smartphones ist, ließ Google indes offen.

Die aktuellen Zahlen zur Verteilung der Android-Versionen legen jedoch die Vermutung nahe, dass der Anteil bei unter 50 Prozent liegt. Mitte September hatten die Android-Versionen bis einschließlich Android 6 Marshmallow einen Anteil von über 54 Prozent – Marshmallow-Geräte wird jedoch kein Hersteller derzeit noch mit Patches versorgen. Davon ausgehend, das nicht einmal alle Nougat-Geräte in den vergangenen drei Monaten ein Sicherheitsupdate erhalten haben, dürfte der Anteil der potentiell unsicheren Geräte deutlich höher sein.

Gefahr ohne Sicherheitspatches?

Wie eine Analyse des bekannten deutschen IT-Sicherheitsspezialisten Karsten Nohl ergab, schlampen einige Smartphonehersteller bei der Integration der von Google monatlich veröffentlichen Sicherheitspatches. Allerdings reichen ein paar vergessene Sicherheitspatches nicht aus, um ein Android-Smartphone zu kompromittieren: Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt.

„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagt Nohl. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

21 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

22 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago