Categories: MobileMobile OS

Prämienprogramm: Google zahlt jährlich rund eine Million Dollar für Android-Sicherheitslücken

Google hat neue Zahlen zu seinem Bonusprogramm für Android-Sicherheitslücken veröffentlicht. Seit dessen Start im Jahr 2015 schüttete das Unternehmen Prämien in Höhe von rund drei Millionen Dollar aus – oder rund eine Millionen Dollar pro Jahr. Allein im vergangenen Jahr erhielt Google 470 Meldungen zu Schwachstellen, die sich für das Prämienprogramm qualifizierten. Die durchschnittliche Zahlung pro Forscher erhöhte sich zudem um 23 Prozent.

Allein im dritten Jahr des Android Security Rewards genannten Programms beteiligten sich 99 Personen oder Organisationen mit einer oder mehreren Schwachstellen. Pro Meldung schüttete Google durchschnittlich 2600 Dollar aus. Jeder Forscher erhielt urchschnittlich 12.500 Dollar.

Die höchste mögliche Prämie von 200.000 Dollar wurde bisher jedoch nicht gezahlt. Sie ist für eine Exploit-Kette ausgelobt, die es erlaubt, aus der Ferne die TrustZone oder den verifizierten Bootvorgang zu kompromittieren. Der bisher höchste Betrag – 105.000 Dollar – ging an den Forscher Guang Gong von Qihoo 360 Technology. Er reichte die erste funktioniere Exploit-Kette ein. Mithilfe von zwei Anfälligkeiten knackte er ein Pixel-Smartphone.

Seit Oktober 2017 belohnt Google aber auch Forscher, die sich mit beliebten Apps im Play Store beschäftigten. Mehr als 30 Anfälligkeiten wurden seitdem gemeldet, für die Google mehr als 100.000 Dollar bezahlte. Sie hätten nach Angaben des Unternehmens eine nicht autorisierte Ausweitung von Nutzerrechten, den Zugriff auf vertrauliche Daten oder sogar das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht.

Darüber hinaus betonte Google, dass die Zusammenarbeit mit seinen Partnern auch die Versorgung mit Sicherheitsupdates verbesserte habe. Bei inzwischen mehr als 250 Smartphone-Modellen habe zumindest die Mehrheit der aktiven Geräte in den vergangenen 90 Tagen ein Sicherheitsupdate erhalten. Wie hoch der Anteil der mit Sicherheitspatches versorgten Geräte an allen noch im Einsatz befindlichen Android-Smartphones ist, ließ Google indes offen.

Die aktuellen Zahlen zur Verteilung der Android-Versionen legen jedoch die Vermutung nahe, dass der Anteil bei unter 50 Prozent liegt. Mitte September hatten die Android-Versionen bis einschließlich Android 6 Marshmallow einen Anteil von über 54 Prozent – Marshmallow-Geräte wird jedoch kein Hersteller derzeit noch mit Patches versorgen. Davon ausgehend, das nicht einmal alle Nougat-Geräte in den vergangenen drei Monaten ein Sicherheitsupdate erhalten haben, dürfte der Anteil der potentiell unsicheren Geräte deutlich höher sein.

Gefahr ohne Sicherheitspatches?

Wie eine Analyse des bekannten deutschen IT-Sicherheitsspezialisten Karsten Nohl ergab, schlampen einige Smartphonehersteller bei der Integration der von Google monatlich veröffentlichen Sicherheitspatches. Allerdings reichen ein paar vergessene Sicherheitspatches nicht aus, um ein Android-Smartphone zu kompromittieren: Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt.

„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagt Nohl. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

5 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

9 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago