Android: Google belohnt Entdecker von Sicherheitslücken

Google zahlt den Findern zwischen 500 und 8000 Dollar. Die Belohnung kann sich um bis zu 30.000 Dollar erhöhen, wenn ein Remote-Exploit auch Sicherheitsfunktionen wie ASLR umgeht. Das neue Programm gilt momentan nur für Fehler in Nexus 6 und Nexus 9.

Ab sofort zahlt der Internetkonzern Prämien für Sicherheitslücken, die in Android gefunden werden. Google belohnt entsprechende Hinweise im Rahmen seines Android Security Rewards Program mit mindestens 500 Dollar bis hin zu 8000 Dollar. Zunächst können aber nur Schwachstellen eingereicht werden, die die aktuell im Google Play Store erhältlichen Nexus-Geräte betreffen, also das Smartphone Nexus 6 und das Tablet Nexus 9. Geld gibt es nach Angaben des Unternehmens aber nicht nur für Details zu Sicherheitslücken, sondern auch für durchgeführte Tests oder gar Patches, von denen das Android-Ökosystem profitiert.

Logo Android (Bild: Google)

Einen als kritisch eingestuften Bug honoriert Google mit mindestens 2000 Dollar. Liefert ein Forscher auch einen CTS-Test oder einen Patch, gibt es 4000 Dollar. Wird beides durchgeführt, erhöht sich die Belohnung auf 8000 Dollar. Weitere Aufschläge stellt Google für Hinweise auf Exploits in Aussicht, die die in Android integrierten Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR), NX und Sandboxing umgehen.

Wird der Kernel über eine installierte App oder bei physischem Zugriff auf ein Gerät kompromittiert, bietet Google zusätzlich 10.000 Dollar an. Lässt sich ein solcher Angriff aus der Ferne ausführen, sind es 20.000 Dollar. Für Eingriffe in die TrustZone oder die Funktion Verified Boot steigt der Betrag sogar auf 30.000 Dollar.

Android nimmt auch weiterhin auch am Patch Rewards Program teil, das wiederum Beiträge zur Verbesserung der Sicherheit von Android und anderen Open-Source-Projekten belohnt, so Google. Darüber hinaus werde Google auch künftig den Hackerwettbewerb Mobile Pwn2Own finanziell unterstützen.

„Wie wir schon mehrfach betont haben, ist offene Sicherheitsforschung eine Schlüsselstärke der Android-Plattform“, schreibt Jon Larimer, Android Security Engineer, in einem Blogeintrag von Jon Larimer zum Android Security Rewards Program. „Je mehr Sicherheitsforschung sich auf Android konzentriert, je stärker wird es.“

Google zahlt seit 2010 an Finder von Sicherheitslücken in seinen Produkten Prämien aus. Im vergangenen Jahr schüttete das Unternehmen mehr als 1,5 Millionen Dollar an Sicherheitsforscher aus, die geholfen haben, Fehler in Chrome und anderen Google-Produkten zu beseitigen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Android: Google belohnt Entdecker von Sicherheitslücken

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *