Prämienprogramm: Google zahlt jährlich rund eine Million Dollar für Android-Sicherheitslücken

Google hat neue Zahlen zu seinem Bonusprogramm für Android-Sicherheitslücken veröffentlicht. Seit dessen Start im Jahr 2015 schüttete das Unternehmen Prämien in Höhe von rund drei Millionen Dollar aus – oder rund eine Millionen Dollar pro Jahr. Allein im vergangenen Jahr erhielt Google 470 Meldungen zu Schwachstellen, die sich für das Prämienprogramm qualifizierten. Die durchschnittliche Zahlung pro Forscher erhöhte sich zudem um 23 Prozent.

Allein im dritten Jahr des Android Security Rewards genannten Programms beteiligten sich 99 Personen oder Organisationen mit einer oder mehreren Schwachstellen. Pro Meldung schüttete Google durchschnittlich 2600 Dollar aus. Jeder Forscher erhielt urchschnittlich 12.500 Dollar.

Die höchste mögliche Prämie von 200.000 Dollar wurde bisher jedoch nicht gezahlt. Sie ist für eine Exploit-Kette ausgelobt, die es erlaubt, aus der Ferne die TrustZone oder den verifizierten Bootvorgang zu kompromittieren. Der bisher höchste Betrag – 105.000 Dollar – ging an den Forscher Guang Gong von Qihoo 360 Technology. Er reichte die erste funktioniere Exploit-Kette ein. Mithilfe von zwei Anfälligkeiten knackte er ein Pixel-Smartphone.

Seit Oktober 2017 belohnt Google aber auch Forscher, die sich mit beliebten Apps im Play Store beschäftigten. Mehr als 30 Anfälligkeiten wurden seitdem gemeldet, für die Google mehr als 100.000 Dollar bezahlte. Sie hätten nach Angaben des Unternehmens eine nicht autorisierte Ausweitung von Nutzerrechten, den Zugriff auf vertrauliche Daten oder sogar das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht.

Darüber hinaus betonte Google, dass die Zusammenarbeit mit seinen Partnern auch die Versorgung mit Sicherheitsupdates verbesserte habe. Bei inzwischen mehr als 250 Smartphone-Modellen habe zumindest die Mehrheit der aktiven Geräte in den vergangenen 90 Tagen ein Sicherheitsupdate erhalten. Wie hoch der Anteil der mit Sicherheitspatches versorgten Geräte an allen noch im Einsatz befindlichen Android-Smartphones ist, ließ Google indes offen.

Die aktuellen Zahlen zur Verteilung der Android-Versionen legen jedoch die Vermutung nahe, dass der Anteil bei unter 50 Prozent liegt. Mitte September hatten die Android-Versionen bis einschließlich Android 6 Marshmallow einen Anteil von über 54 Prozent – Marshmallow-Geräte wird jedoch kein Hersteller derzeit noch mit Patches versorgen. Davon ausgehend, das nicht einmal alle Nougat-Geräte in den vergangenen drei Monaten ein Sicherheitsupdate erhalten haben, dürfte der Anteil der potentiell unsicheren Geräte deutlich höher sein.

Gefahr ohne Sicherheitspatches?

Wie eine Analyse des bekannten deutschen IT-Sicherheitsspezialisten Karsten Nohl ergab, schlampen einige Smartphonehersteller bei der Integration der von Google monatlich veröffentlichen Sicherheitspatches. Allerdings reichen ein paar vergessene Sicherheitspatches nicht aus, um ein Android-Smartphone zu kompromittieren: Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt.

„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagt Nohl. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.