Google erhöht Prämien für gefundene Sicherheitslücken in Android

Google baut das vor einem Jahr eingeführte Android-Prämienprogramm aus und erhöht Belohnungen für Sicherheitsforscher, die es auf Lücken in seinem Code hinweisen. Die höheren Prämien winken nach dem 1. Juni 2016 eingereichten Meldungen über Schwachstellen.

33 Prozent mehr sind ausgelobt für einen Schwachstellenbericht hoher Qualität, zu dem ein Proof of Concept eingereicht wird. Als Beispiel nennt Google die Meldung einer kritischen Sicherheitslücke, für die 4000 statt bisher 3000 Dollar ausgezahlt wird. Liefern Sicherheitsforscher dazu noch einen CTS-Test oder einen Patch, dürfen sie mit zusätzlichen 50 Prozent rechnen. Die Prämie für einen Remote- oder Proximal-Kernel-Exploit erhöht sich von 20.000 auf 30.000 Dollar. Von bisher 30.000 auf 50.000 Dollar steigert sich die Belohnung für eine Remote-Exploit-Kette oder Exploits, die zur Kompromittierung von TrustZone oder Verified Boot führen.

Die Änderungen und zusätzliche Bedingungen sind den Programm-Richtlinien zu entnehmen. Weitere Hinweise gibt die Bug Hunter University. Aktualisiert wurden außerdem die Einstufungen für den Schweregrad einer Schwachstelle.

2015 hat Google über 2 Millionen Dollar an Sicherheitsforscher gezahlt für ihre Arbeit, die „unsere Dienste und das Web insgesamt sicherer machen“. In seinem Jahresbericht erwähnte es außerdem, dass davon 200.000 Dollar – also nahezu 10 Prozent – für Android-Lücken ausbezahlt wurden, obwohl das Android-Prämienprogramm erst seit sechs Monaten existierte. Inzwischen hat sich diese Summe auf 550.000 Dollar erhöht, die an 82 Personen ausbezahlt wurden. Damit entfielen durchschnittlich 2200 Dollar je Meldung über eine Android-Lücke und 6700 Dollar je beteiligten Sicherheitsforscher. 15 von ihnen erhielten über 10.000 Dollar. Einer kam sogar auf 75.750 Dollar für 26 eingereichte Berichte über Schwachstellen.

Mehr als ein Drittel der über 250 Meldungen galten Schwachstellen im Media Server. In Android N wurde er inzwischen durch einen verbesserten Schutz bei der Medienverarbeitung gehärtet. Das modulare Konzept des Mediastack soll in Zukunft besser vor Angriffen schützen.

Die Ankündigung eines eigenen Prämienprogramms für Android kam zum richtigen Zeitpunkt, weniger als einen Monat vor Entdeckung der ersten StageFright-Lücke, über die per MMS (und je nach Konfiguration sogar, ohne dass der Anwender die MMS selbst abrief) Datendiebstahl ermöglichte. Das Sicherheitsproblem veranlasste Google und Hersteller wie LG oder Samsung dazu, monatliche Patches zumindest für Flaggschiff-Modelle einzurichten.

Ein Prämienprogramm unterhält Google seit 2010. Es dient der Sicherheit von Programmen wie dem Browser Chrome, aber auch von Google-Sites wie Google.com und Youtube. Seit dem Start hat Google nach eigenen Angaben 6 Millionen Dollar ausgeschüttet.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.