Google erhöht Prämien für Sicherheitslücken deutlich

Google hat sein Prämienprogramm für Sicherheitslücken aufgestockt. Die Belohnungen, die Sicherheitsforscher erhalten, die Details zu Schwachstellen in Chrome und Chrome OS vertraulich an Google melden, wurden zum Teil verdoppelt oder gar verdreifacht. So steigt die maximale Basisprämie von 5000 auf 15.000 Dollar und der Höchstbetrag für besonders hochwertige Anfälligkeiten und Fehlerberichte von 15.000 auf 30.000 Dollar.

Das Chrome Vulnerability Rewards Program gibt es bereits seit 2010. Seitdem erhielt Google laut Natasha Pabrai und Andrew Whalley vom Chrome Security Team mehr als 8500 Berichte von Sicherheitsforschern. Google schüttete im Gegenzug in der Zeit mehr als fünf Millionen Dollar aus.

Seitdem wurde das Programm laufend erweitert. Dazu gehört das Chrome Fuzzer Program, bei dem sogenannten Fuzzer zum Einsatz kommen, um automatisiert nach Sicherheitslücken zu suchen. Diese Bugs wurden bisher mit je 500 Dollar entlohnt – künftig sind es 1000 Dollar.

Darüber hinaus kündigte Google neue Fehlerkategorien an und überarbeitete die Kriterien für hochwertige Anfälligkeiten. Dabei handelt es sich nun um Fehler, die „leicht, aktiv und zuverlässig gegen unsere Nutzer eingesetzt werden können“. Die zugehörigen Fehlerberichte sollen zudem aufzeigen, dass eine Ausnutzung des Bugs sehr wahrscheinlich ist. Google erwartet zudem Vorschläge für einen Patch.

Neu sind die die Fehlerkategorien Firmware und Lock Screen Bypass für Chrome OS. Forscher, die eine Exploit-Kette für Chrome OS entwickeln, mit der sich eine Chromebook oder eine Chromebox im Gastmodus dauerhaft kompromittieren lassen, dürfen ab sofort mit einer Belohnung von 150.000 Dollar rechnen. Bisher waren es 100.000 Dollar.

Lukrativer ist nun auch die Arbeit für das Google Play Security Reward Program, mit dem Google die Sicherheit von Apps im Play Store verbessern wird. So überweist Google beispielsweise nun statt 5.000 Dollar bis zu 20.000 Dollar für Beispielcode, der das Einschleusen und Ausführen von nativem ARM-Code ohne Interaktion mit einem Nutzer auf dessen Gerät erlaubt. Fehler, die den Diebstahl von persönlichen Daten erlauben, ergeben eine Prämie von 3000 Dollar. Denselben Betrag lobt Google auch für den Zugang zu geschützten App-Komponenten aus.

Google gilt als Vorreiter der Prämienprogramme für Sicherheitslücken. Inzwischen belohnen aber auch andere Unternehmen, darunter Microsoft und Facebook, die Arbeit von externen Sicherheitsforschern. Darüber hinaus gibt es Programme von Drittanbietern wie Trend Micros Zero Day Initiative, die unabhängig vom Anbieter für Details zu bestimmten Sicherheitslücken zahlen und diese anschließend vertraulich an die eigentlichen Hersteller weiterleiten.

Umstritten sind indes Anbieter, die Sicherheitslücken einkaufen, um sie an andere Unternehmen, Regierungsbehörden oder Strafverfolger weiterzuverkaufen. Diese Anfälligkeiten werden in der Regel nicht gegenüber den Herstellern offengelegt und bleiben damit ungepatcht. Allerdings zahlen solche Firmen oftmals deutlich höhere Prämien. So bietet das US-Startup Zerodium derzeit 2 Millionen Dollar für einen iOS-Remote-Jailbreak.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

LineageOS: Android 10 für Nexus 5

Mit einer inoffiziellen Variante von LineageOS 17.1 kommt Android 10 inklusive neuester Sicherheitspatches auf das Google-Smartphone. Obwohl das 2013 erschienene…

6 Stunden ago

Bericht: Produktion von Apples neuem „Billig“-iPhone beginnt im Februar

Die Fertigung übernehmen Hon Hai, Pegatron und Wistron. Der Nachfolger des iPhone SE basiert offenbar auf dem iPhone 8, in…

7 Stunden ago

IBM übertrifft die Erwartungen im vierten Quartal

Die Einnahmen stagnieren bei 21,78 Milliarden Dollar. Der Nettogewinn klettert jedoch um 88 Prozent auf 3,7 Milliarden Dollar. IBM stellt…

9 Stunden ago

Saudischer Kronprinz hackt angeblich Smartphone von Amazon-CEO Jeff Bezos

Wahrscheinlich kompromittiert eine schädliche Video-Datei das Smartphone des Amazon-Chefs. Die Datei erhält Bezos vom persönlichen WhatsApp-Konto des Kronprinzen. Die Botschaft…

11 Stunden ago

Studie: 14 Prozent der Android-Apps mit widersprüchlichen Datenschutzrichtlinien

Forscher untersuchen insgesamt 11.430 Apps im Play Store. In den meisten Fällen unterstellen sie Vorsatz. Nur bei 260 von 510…

13 Stunden ago

Windows EFS: Sicherheitsanbieter verbessern Schutz vor Ransomware-Angriffen

Forscher entwickeln einen Angriff, der das verschlüsselte Windows-Dateisystem ausnutzt. Er lässt sich allerdings auch mit Windows-Bordmitteln aufhalten. Trotzdem stellen Anbieter…

15 Stunden ago