Categories: MobileMobile OS

Prämienprogramm: Google zahlt jährlich rund eine Million Dollar für Android-Sicherheitslücken

Google hat neue Zahlen zu seinem Bonusprogramm für Android-Sicherheitslücken veröffentlicht. Seit dessen Start im Jahr 2015 schüttete das Unternehmen Prämien in Höhe von rund drei Millionen Dollar aus – oder rund eine Millionen Dollar pro Jahr. Allein im vergangenen Jahr erhielt Google 470 Meldungen zu Schwachstellen, die sich für das Prämienprogramm qualifizierten. Die durchschnittliche Zahlung pro Forscher erhöhte sich zudem um 23 Prozent.

Allein im dritten Jahr des Android Security Rewards genannten Programms beteiligten sich 99 Personen oder Organisationen mit einer oder mehreren Schwachstellen. Pro Meldung schüttete Google durchschnittlich 2600 Dollar aus. Jeder Forscher erhielt urchschnittlich 12.500 Dollar.

Die höchste mögliche Prämie von 200.000 Dollar wurde bisher jedoch nicht gezahlt. Sie ist für eine Exploit-Kette ausgelobt, die es erlaubt, aus der Ferne die TrustZone oder den verifizierten Bootvorgang zu kompromittieren. Der bisher höchste Betrag – 105.000 Dollar – ging an den Forscher Guang Gong von Qihoo 360 Technology. Er reichte die erste funktioniere Exploit-Kette ein. Mithilfe von zwei Anfälligkeiten knackte er ein Pixel-Smartphone.

Seit Oktober 2017 belohnt Google aber auch Forscher, die sich mit beliebten Apps im Play Store beschäftigten. Mehr als 30 Anfälligkeiten wurden seitdem gemeldet, für die Google mehr als 100.000 Dollar bezahlte. Sie hätten nach Angaben des Unternehmens eine nicht autorisierte Ausweitung von Nutzerrechten, den Zugriff auf vertrauliche Daten oder sogar das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht.

Darüber hinaus betonte Google, dass die Zusammenarbeit mit seinen Partnern auch die Versorgung mit Sicherheitsupdates verbesserte habe. Bei inzwischen mehr als 250 Smartphone-Modellen habe zumindest die Mehrheit der aktiven Geräte in den vergangenen 90 Tagen ein Sicherheitsupdate erhalten. Wie hoch der Anteil der mit Sicherheitspatches versorgten Geräte an allen noch im Einsatz befindlichen Android-Smartphones ist, ließ Google indes offen.

Die aktuellen Zahlen zur Verteilung der Android-Versionen legen jedoch die Vermutung nahe, dass der Anteil bei unter 50 Prozent liegt. Mitte September hatten die Android-Versionen bis einschließlich Android 6 Marshmallow einen Anteil von über 54 Prozent – Marshmallow-Geräte wird jedoch kein Hersteller derzeit noch mit Patches versorgen. Davon ausgehend, das nicht einmal alle Nougat-Geräte in den vergangenen drei Monaten ein Sicherheitsupdate erhalten haben, dürfte der Anteil der potentiell unsicheren Geräte deutlich höher sein.

Gefahr ohne Sicherheitspatches?

Wie eine Analyse des bekannten deutschen IT-Sicherheitsspezialisten Karsten Nohl ergab, schlampen einige Smartphonehersteller bei der Integration der von Google monatlich veröffentlichen Sicherheitspatches. Allerdings reichen ein paar vergessene Sicherheitspatches nicht aus, um ein Android-Smartphone zu kompromittieren: Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt.

„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagt Nohl. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago