Google zahlt ab sofort auch Prämien für in seinem Mobilbetriebssystem Android gefundene Sicherheitslücken. Hinweise auf Schwachstellen belohnt es im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet der Internetkonzern aber bis zu 8000 Dollar aus.
Anfänglich können allerdings nur Fehler eingereicht werden, die die aktuell im Google Play Store erhältlichen Nexus-Geräte betreffen, also das Smartphone Nexus 6 und das Tablet Nexus 9. Geld gibt es nach Angaben des Unternehmens aber nicht nur für Details zu Sicherheitslücken, sondern auch für durchgeführte Tests oder gar Patches, von denen das Android-Ökosystem profitiert.
Für einen als kritisch eingestuften Bug schüttet Google mindestens 2000 Dollar aus. Liefert ein Forscher auch einen CTS-Test oder einen Patch, gibt es 4000 Dollar. Wird beides durchgeführt, erhöht sich die Belohnung auf 8000 Dollar.
Weitere Aufschläge stellt Google für Hinweise auf Exploits in Aussicht, die die in Android integrierten Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR), NX und Sandboxing umgehen. Wird der Kernel über eine installierte App oder bei physischem Zugriff auf ein Gerät kompromittiert, bietet Google zusätzlich 10.000 Dollar an. Lässt sich ein solcher Angriff aus der Ferne ausführen, sind es 20.000 Dollar. Für Eingriffe in die TrustZone oder die Funktion Verified Boot steigt der Betrag sogar auf 30.000 Dollar.
Google weist darauf hin, dass Android weiterhin auch am Patch Rewards Program teilnimmt, das wiederum Beiträge zur Verbesserung der Sicherheit von Android und anderen Open-Source-Projekten belohnt. Darüber hinaus werde Google auch künftig den Hackerwettbewerb Mobile Pwn2Own finanziell unterstützen.
„Wie wir schon mehrfach betont haben, ist offene Sicherheitsforschung eine Schlüsselstärke der Android-Plattform“, schreibt Jon Larimer, Android Security Engineer, in einem Blogeintrag von Jon Larimer zum Android Security Rewards Program. „Je mehr Sicherheitsforschung sich auf Android konzentriert, je stärker wird es.“
Google zahlt seit 2010 an Finder von Sicherheitslücken in seinen Produkten Prämien aus. Im vergangenen Jahr schüttete das Unternehmen mehr als 1,5 Millionen Dollar an Sicherheitsforscher aus, die geholfen haben, Fehler in Chrome und anderen Google-Produkten zu beseitigen.
[mit Material von Kevin Tofel, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…