Android-Lücken: Google zahlte halbe Million Dollar an
Sicherheitsforscher
Andreas Proschofsky17. Juni 2016, 14:22
Bilanz nach erstem Jahr des Bug-Bounty-Programms – Preisgelder werden
nun erhöht
Während Google seit Jahren – mit großem Erfolg – ein Bug-Bounty-Programm
für seinen Browser Chrome betreibt, hat man sich rund um das eigene
Betriebssystem Android etwas länger Zeit gelassen. Vor einem Jahr
schloss man diese Lücke, seitdem erhalten Sicherheitsforscher für jede
gemeldete Lücke auch hier einen Geldbetrag, dessen Höhe von der Schwere
des gemeldeten Problems abhängt.
Umfangreiche Prämien
Nun zieht Google eine erste Bilanz, und zeigt sich dabei mit dem
Erreichten zufrieden. Insgesamt habe man im vergangenen Jahr 550.000
US-Dollar im Rahmen des Bug-Bounty-Programms ausgezahlt. Dieser Betrag
verteilt sich auf 250 gemeldete Lücken und 82 unterschiedliche Personen.
Spitzenreiter ist ein Mitarbeiter von Trend Micro, der 26 Lücken meldete
und 75.750 Dollar erhielt.
Was allerdings ausblieb, war ein erfolgreiches Einstreifen der höchsten
Prämie: 30.000 US-Dollar bot Google für eine Serie von Exploits mit
denen Verified Boot oder die ARM TrustZone aus der Ferne kompromittiert
werden können. Bislang ist dies aber offenbar noch niemandem gelungen.
Erhöhtes Preisgeld
Doch Google zieht nicht nur Bilanz, man erhöht auch gleich das
ausgeschriebene Preisgeld. Für einen hochqualitativen Fehlerbericht samt
Proof of Concept gibt es nun 4.000 statt 3.000 US-Dollar. Wer noch einen
Patch zur Fehlerbereinigung oder einen CTS-Test mitliefert, bekommt 50
Prozent mehr. Für einen Kernel Exploit aus der Ferne gibt es nun 30.000
statt 20.000 Dollar. Und für die schon erwähnte Aushebelung der gesamten
Trust Chain sind nun 50.000 US-Dollar zu haben.
Hintergrund Mit solchen finanziellen Anreizen wollen Softwarehersteller
einen Anreiz schaffen, Sicherheitslücken direkt bei ihnen zu melden,
anstatt sie einfach so zu veröffentlichen oder gar über den Schwarzmarkt
zu Geld zu machen. Voraussetzung für die Ausbezahlung der Prämie ist die
Geheimhaltung des Problems bis zur Verfügbarkeit eines Patches.
Das Google-Programm deckt dabei jeweils nur die letzten Versionen des
eigenen Betriebssystems ab, und die auch nur auf einigen ausgewählten
Geräten. Aktuell sind dies Nexus 5X, Nexus 6P, Nexus 9 und Pixel C, also
Smartphones und Tablets aus dem eigenen Haus, bei denen man auch selbst
für die Softwarezusammenstellung verantwortlich zeichnet. (apo,
17.6.2016)
Links
Blogeintrag von Google
Details zum Bug-Bounty-Programm