Google kündigt Bug-Bounty von 40.000 $ für das Melden von Fehlern im Android-Betriebssystem an

Google lädt ethische Hacker und Sicherheitsforscher ein, Sicherheitsanfälligkeiten in Android mit einem Angebot von 40.000 $ (£25.600) zu finden

Google wird eine Belohnung von bis zu 40.000 $ (£25.600) an Sicherheitsforscher zahlen, die Fehler in seinen Android-Geräten finden. Das Unternehmen hat auch ein neues Programm angekündigt, um sicherzustellen, dass die Sicherheit von Drittanbieter-Software im Android-Betriebssystem gewährleistet ist, indem Entwickler dazu angeregt werden, in ihren Anwendungen keine veralteten Programmierbibliotheken zu verwenden.

Adrian Ludwig, der Leiter der Android-Sicherheit, sagte: „Wir sehen, dass mobile Geräte möglicherweise die wichtigste Möglichkeit für Menschen werden, sich mit dem Internet zu verbinden. Außerdem sehen wir, dass sie eine Zwei-Faktor-Überprüfung bieten und Hoffnung in der Art und Weise, wie Benutzer interagieren, schaffen.“

Dennoch konzentriert sich die Mehrheit der Sicherheitsforschung weiterhin auf die Legacy-Systeme. Wir versuchen, das zu ändern, indem wir Sicherheitsforscher anreizen, ihre Kräfte auf mobile Geräte zu konzentrieren. Das neue Programm mit dem Namen „Android Security Rewards“ wird dem Erfolg eines ähnlichen Programms für Googles Chrome-Webbrowser folgen. Im Jahr 2014 zahlte das Unternehmen mehr als 1,5 Millionen Dollar an Sicherheitsforscher aus.

Ludwig sagt, die Entscheidung, Android-Apps auf Softwarebibliotheken zu überprüfen, die eine Sicherheitsbedrohung darstellen könnten, wurde vor einem Jahr getroffen und wird nun über die „experimentelle“ Einführung hinaus ausgerollt. Er sagte auch, dass wir bei der Überprüfung von Apps nicht absichtlich nach schlechtem Verhalten suchen werden, sondern nach Fehlern.

Ludwig gab das klare Beispiel von OpenSSL, der Open-Source-Verschlüsselungsbibliothek, die im Zusammenhang mit der Heartbleed-Anfälligkeit von 2014 im Gedächtnis geblieben ist.

Ludwig sagte, dass wir auf eine alte Geschichte von OpenSSL achten. Vor etwa einem Jahr begannen wir, Apps zu scannen und Entwickler zu benachrichtigen, wenn sie diesen Typ von Fehler gemacht haben. „Unser Ziel ist es, zu dem Punkt zu gelangen, an dem es eine gemeinsame Basislinie gibt, und wir wollen Strukturen schaffen, um Entwicklern zu helfen, ihre Apps zu aktualisieren, damit der Wert aller Apps steigt.“

Entwickler, die Googles Bug-Belohnung beanspruchen möchten, müssen Sicherheitsanfälligkeiten nachweisen, die die beiden ausgelieferten Nexus-Geräte des Unternehmens betreffen, d.h. das Nexus 6 und das Nexus 9. Aufgrund der Aufteilung des Android-Marktes kann Google nicht nachweisen, ob Fehler, die andere Android-Geräte betreffen, ein Fehler des Betriebssystems oder der Herstellererweiterungen sind. Die Belohnungen sind gestaffelt, von 500 $ für einen geringfügigen Fehler, der ohne zusätzliche Arbeit außer der Identifizierung angeboten wird, bis zu 38.000 $ für eine schwerwiegende Schwäche, die zusammen mit einem Proof-of-Concept für die Fernnutzung und einem Bereich zur Behebung des Problems bereitgestellt wird. „Unser Ziel ist, dass dies eine Vollzeitstudie und eine sehr gut bezahlte Gelegenheit sein könnte“, sagt Ludwig.

Ein separates Google-Sicherheitsprogramm namens Project Zero hat dem Unternehmen eine gewisse Kontroverse eingebracht, da es Proof-of-Concepts unter Verwendung von Geräten anderer Unternehmen veröffentlicht. Dieses Projekt zielt darauf ab, zuvor nicht identifizierte Sicherheitsanfälligkeiten zu erkennen und sie dann den Herstellern mit einer Frist von 90 Tagen zur Behebung offenzulegen. Wenn keine Lösung in Sicht ist, wird die Gruppe den Angriff öffentlich bekannt geben, um die Unternehmen zu ermutigen, ihre Sicherheitsupdates zu beschleunigen.

Obwohl das Unternehmen predigt, was es praktiziert: Ludwig sagt, dass Sicherheitsanfälligkeiten in Android von Project Zero gesucht werden. Wenn Project Zero ein Problem identifiziert, erhalten wir eine Frist, innerhalb derer wir an diesem Ziel arbeiten müssen, genau wie alle anderen. Wir haben bisher keinen Termin verpasst.

„Wir glauben fest daran, dass Hersteller schnell reagieren sollten, alle Beteiligten sollten zügig reagieren.“