Categories: Sicherheit

Google erhöht Prämien für gefundene Sicherheitslücken in Android

Google baut das vor einem Jahr eingeführte Android-Prämienprogramm aus und erhöht Belohnungen für Sicherheitsforscher, die es auf Lücken in seinem Code hinweisen. Die höheren Prämien winken nach dem 1. Juni 2016 eingereichten Meldungen über Schwachstellen.

33 Prozent mehr sind ausgelobt für einen Schwachstellenbericht hoher Qualität, zu dem ein Proof of Concept eingereicht wird. Als Beispiel nennt Google die Meldung einer kritischen Sicherheitslücke, für die 4000 statt bisher 3000 Dollar ausgezahlt wird. Liefern Sicherheitsforscher dazu noch einen CTS-Test oder einen Patch, dürfen sie mit zusätzlichen 50 Prozent rechnen. Die Prämie für einen Remote- oder Proximal-Kernel-Exploit erhöht sich von 20.000 auf 30.000 Dollar. Von bisher 30.000 auf 50.000 Dollar steigert sich die Belohnung für eine Remote-Exploit-Kette oder Exploits, die zur Kompromittierung von TrustZone oder Verified Boot führen.

Die Änderungen und zusätzliche Bedingungen sind den Programm-Richtlinien zu entnehmen. Weitere Hinweise gibt die Bug Hunter University. Aktualisiert wurden außerdem die Einstufungen für den Schweregrad einer Schwachstelle.

2015 hat Google über 2 Millionen Dollar an Sicherheitsforscher gezahlt für ihre Arbeit, die „unsere Dienste und das Web insgesamt sicherer machen“. In seinem Jahresbericht erwähnte es außerdem, dass davon 200.000 Dollar – also nahezu 10 Prozent – für Android-Lücken ausbezahlt wurden, obwohl das Android-Prämienprogramm erst seit sechs Monaten existierte. Inzwischen hat sich diese Summe auf 550.000 Dollar erhöht, die an 82 Personen ausbezahlt wurden. Damit entfielen durchschnittlich 2200 Dollar je Meldung über eine Android-Lücke und 6700 Dollar je beteiligten Sicherheitsforscher. 15 von ihnen erhielten über 10.000 Dollar. Einer kam sogar auf 75.750 Dollar für 26 eingereichte Berichte über Schwachstellen.

Mehr als ein Drittel der über 250 Meldungen galten Schwachstellen im Media Server. In Android N wurde er inzwischen durch einen verbesserten Schutz bei der Medienverarbeitung gehärtet. Das modulare Konzept des Mediastack soll in Zukunft besser vor Angriffen schützen.

Die Ankündigung eines eigenen Prämienprogramms für Android kam zum richtigen Zeitpunkt, weniger als einen Monat vor Entdeckung der ersten StageFright-Lücke, über die per MMS (und je nach Konfiguration sogar, ohne dass der Anwender die MMS selbst abrief) Datendiebstahl ermöglichte. Das Sicherheitsproblem veranlasste Google und Hersteller wie LG oder Samsung dazu, monatliche Patches zumindest für Flaggschiff-Modelle einzurichten.

Ein Prämienprogramm unterhält Google seit 2010. Es dient der Sicherheit von Programmen wie dem Browser Chrome, aber auch von Google-Sites wie Google.com und Youtube. Seit dem Start hat Google nach eigenen Angaben 6 Millionen Dollar ausgeschüttet.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

17 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

18 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

18 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

18 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

20 Stunden ago