Categories: Sicherheit

Android-Lücken machen schon 10 Prozent aller Google-Prämien aus

Google hat im vergangenen Jahr etwas über 2 Millionen Dollar an Sicherheitsforscher gezahlt, die es auf Lücken in seinem Code hinwiesen. Der Jahresbericht vermerkt auch, dass davon 200.000 Dollar – also nahezu 10 Prozent – für Android-Lücken ausbezahlt wurden. Das Android-Prämienprogramm existiert aber erst seit sechs Monaten.

Die Ankündigung war Mitte Juni 2015 erfolgt. Hinweise auf Schwachstellen in Android belohnt Google seither im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet es bis zu 8000 Dollar aus. Bestimmte Remote-Exploits für Zugriff aus der Ferne bringen 30.000 Dollar Aufschlag. Die Lücken müssen auf Googles eigenen Nexus-Smartphones vorhanden sein.

Die Ankündigung kam zum richtigen Zeitpunkt, weniger als einen Monat vor Entdeckung der ersten StageFright-Lücke, über die per MMS (und je nach Konfiguration sogar, ohne dass der Anwender die MMS selbst abrief) Datendiebstahl ermöglichte. Das Sicherheitsproblem veranlasste Google und Hersteller wie LG oder Samsung dazu, monatliche Patches zumindest für Flaggschiff-Modelle einzurichten.

Ein Prämienprogramm unterhält Google seit 2010. Es dient der Sicherheit von Programmen wie dem Browser Chrome, aber auch von Google-Sites wie Google.com und Youtube. Seit dem Start hat Google nach eigenen Angaben 6 Millionen Dollar ausgeschüttet. 2014 waren es 1,5 Millionen Dollar gewesen.

Die Höhe der Prämien für einzelne Lücken macht Google nur im Fall von Chrome öffentlich. Dass es die Höhe der Android-Prämien angibt, stellt allein schon eine Ausnahme dar. Zudem nannte es die bisher höchste Android-Prämie, nämlich 37.500 Dollar.

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

Auf dem freien (wenngleich umstrittenen) Markt für Sicherheitslücken – etwa bei Zerodium – bringt eine aus der Ferne nutzbare Jailbreak-Lücke in Android bis zu 100.000 Dollar, also fast das Dreifache der von Google gezahlten Prämie.

Die erste Android-Prämie ging Google zufolge im August an einen Forscher namens Wish Wu. Für Googles Sicherheitsteam kommentierte Eduardo Vela Nava, Android habe „sofort bedeutende Wirkung ausgeübt, als es Teil des Programms wurde.“ Zum Vergleich: Microsoft hat zwischen 2013 und 2015 insgesamt 500.000 Dollar Sicherheitsprämien ausgeschüttet; es könnte bald von Android allein überflügelt werden.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago