Android: Finder von Sicherheitslücken werden von Google belohnt
Google hat nun auch für Android ein Security-Reward-Programm gestartet. Über dieses werden Finder von Android-Sicherheitslücken mit mindestens 500 US-Dollar belohnt. Je nach Lücke sind aber auch deutlich höhere Zahlungen möglich. Darüber hinaus werden auch Beiträge zur Lösung von Sicherheitsproblemen mit Zahlungen gefördert.
An dem Programm nehmen allerdings nur die aktuellen Nexus-Geräte, also das Smartphone Nexus 6 und das Tablet Nexus 9, teil. Finder von Schwachstellen erhalten mindestens 500 US-Dollar; stuft Google diese als kritisch ein, wird die Belohnung auf 2.000 US-Dollar erhöht. Einen zusätzlichen Bonus von bis zu 4.000 US-Dollar erhalten Finder, der einen CTS-Test (Compatibility Test Suite) oder einen Patch mitliefern. Wird beides durchgeführt, kann die Auszahlung bei bis zu 8.000 US-Dollar erreichen.
Besonderen Fokus legt Google zudem auf Fehler in den Sicherheitsfunktionen von Android. Wer beispielsweise eine Sicherheitslücke in der Adress Space Layout Randomization (ASLR), die Programmen auf zufälliger Basis Adressbereiche zuweist, um die Ausnutzung von Sicherheitslücken zu verhindern, dem NX-Bit oder Sandboxing findet, erhält 10.000 US-Dollar, wenn der Angriff über eine installierte App oder direkten Zugriff auf das Gerät erfolgt.
Ist der Angriff sogar aus der Ferne möglich, erhöht sich die Belohnung auf bis 20.000 US-Dollar. Führt die Sicherheitslücke zu einem Eingriff in die TrustZone oder den Bereich Verified Boot, werden bis zu 30.000 US-Dollar gezahlt.
Für Google ist die offene Sicherheitsforschung ein wichtiger Schritt für mehr Sicherheit, die nun auch dem Betriebssystem Android noch stärker zu Gute kommt. Dies betont auch Googles Android-Sicherheitsexperte Jon Laimer in einem Blogeintrag und verweist zudem darauf, dass Android zudem auch weiterhin am Patch Reward Programm teilnimmt, bei dem den Unterstützern weitere Boni in Aussicht gestellt werden und das Sicherheitsverbesserungen in Open-Source-Projekten zum Ziel hat.