Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
 Schwarzbuch> 2 0 1 1 2 0 1 1 2 0 1 2 2 0 1 3 2 0 1 4 2 0 1 5 2016 2017l2018 2019 2 0 2 0 2021 2022  Presseveröffentlichungen
Schwarz-buch

 
der Standard, Wien

Google zahlt 500.000 US-$ für Android


Android-Lücken: Google zahlte halbe Million Dollar an Sicherheitsforscher
Andreas Proschofsky17. Juni 2016, 14:22

Bilanz nach erstem Jahr des Bug-Bounty-Programms – Preisgelder werden nun erhöht
Während Google seit Jahren – mit großem Erfolg – ein Bug-Bounty-Programm für seinen Browser Chrome betreibt, hat man sich rund um das eigene Betriebssystem Android etwas länger Zeit gelassen. Vor einem Jahr schloss man diese Lücke, seitdem erhalten Sicherheitsforscher für jede gemeldete Lücke auch hier einen Geldbetrag, dessen Höhe von der Schwere des gemeldeten Problems abhängt.
Umfangreiche Prämien
Nun zieht Google eine erste Bilanz, und zeigt sich dabei mit dem Erreichten zufrieden. Insgesamt habe man im vergangenen Jahr 550.000 US-Dollar im Rahmen des Bug-Bounty-Programms ausgezahlt. Dieser Betrag verteilt sich auf 250 gemeldete Lücken und 82 unterschiedliche Personen. Spitzenreiter ist ein Mitarbeiter von Trend Micro, der 26 Lücken meldete und 75.750 Dollar erhielt.
Was allerdings ausblieb, war ein erfolgreiches Einstreifen der höchsten Prämie: 30.000 US-Dollar bot Google für eine Serie von Exploits mit denen Verified Boot oder die ARM TrustZone aus der Ferne kompromittiert werden können. Bislang ist dies aber offenbar noch niemandem gelungen.
Erhöhtes Preisgeld
Doch Google zieht nicht nur Bilanz, man erhöht auch gleich das ausgeschriebene Preisgeld. Für einen hochqualitativen Fehlerbericht samt Proof of Concept gibt es nun 4.000 statt 3.000 US-Dollar. Wer noch einen Patch zur Fehlerbereinigung oder einen CTS-Test mitliefert, bekommt 50 Prozent mehr. Für einen Kernel Exploit aus der Ferne gibt es nun 30.000 statt 20.000 Dollar. Und für die schon erwähnte Aushebelung der gesamten Trust Chain sind nun 50.000 US-Dollar zu haben.
Hintergrund
Mit solchen finanziellen Anreizen wollen Softwarehersteller einen Anreiz schaffen, Sicherheitslücken direkt bei ihnen zu melden, anstatt sie einfach so zu veröffentlichen oder gar über den Schwarzmarkt zu Geld zu machen. Voraussetzung für die Ausbezahlung der Prämie ist die Geheimhaltung des Problems bis zur Verfügbarkeit eines Patches.
Das Google-Programm deckt dabei jeweils nur die letzten Versionen des eigenen Betriebssystems ab, und die auch nur auf einigen ausgewählten Geräten. Aktuell sind dies Nexus 5X, Nexus 6P, Nexus 9 und Pixel C, also Smartphones und Tablets aus dem eigenen Haus, bei denen man auch selbst für die Softwarezusammenstellung verantwortlich zeichnet. (apo, 17.6.2016)

Links
Blogeintrag von Google
Details zum Bug-Bounty-Programm

http://derstandard.at/2000039196330/Android-Luecken-Google-zahlte-halbe-Million-Dollar-an-Sicherheitsforscher














Bemerkungen :

Kein Kommentar !