Google erhöht Belohnung auf bis zu 450.000 $ für RCE-Fehler in bestimmten Android-Apps

Google bietet jetzt eine Belohnung von bis zu 450.000 $ für die Meldung von Remote Code Execution (RCE)-Schwachstellen in ausgewählten Android-Apps an.

Für diejenigen, die es nicht wissen, ist RCE ein Cyberangriff, bei dem ein Angreifer bösartigen Code auf einem Zielcomputer aus der Ferne ausführen kann, unabhängig davon, wo sich dieser befindet, um zusätzliche Malware zu installieren oder sensible Daten zu stehlen.

Zuvor betrug die Belohnung für die Meldung von RCE-Schwachstellen in der Tier-1-App 30.000 $, die nun auf bis zu 300.000 $ erhöht wurde.

Diese Änderungen wurden am Mobile Vulnerability Rewards Program (Mobile VRP) vorgenommen, das 2023 ins Leben gerufen wurde und sich auf First-Party-Android-Apps konzentriert, die von Google entwickelt oder gewartet werden.

Ziel dieses Programms ist es, “Schwachstellen in First-Party-Android-Anwendungen zu mindern und somit die Benutzer und ihre Daten zu schützen”, indem “die Beiträge und die harte Arbeit von Forschern anerkannt werden, die Google helfen, die Sicherheitslage unserer First-Party-Android-Anwendungen zu verbessern.”

Seit dem Start des Mobile VRP hat Google über 40 gültige Sicherheitsfehlerberichte erhalten, für die es fast 100.000 $ an Belohnungen an Sicherheitsforscher gezahlt hat.

In Bezug auf Tier 1 umfasst die Liste der in den Geltungsbereich fallenden Apps Google Play-Dienste, die Android Google-Such-App (AGSA), Google Cloud und Gmail.

Google möchte nun auch, dass Sicherheitsforscher besonderes Augenmerk auf Schwachstellen legen, die zum Diebstahl sensibler Daten führen könnten. Für Exploits, die keine oder nur eine geringe Benutzerinteraktion erfordern, würden Forscher 75.000 $ erhalten.

Darüber hinaus wird der Technologieriese 1,5-mal den Gesamtbelohnungsbetrag für Berichte von außergewöhnlicher Qualität zahlen, die einen vorgeschlagenen Patch oder eine effektive Minderung der Schwachstelle sowie eine Ursachenanalyse enthalten, die hilft, andere ähnliche Varianten des Problems zu finden. Dies würde es Forschern ermöglichen, bis zu 450.000 $ für einen RCE-Exploits in einer Tier-1-Android-App zu verdienen.

Forscher würden jedoch nur die Hälfte der Belohnung für minderwertige Fehlerberichte erhalten, die nicht Folgendes bereitstellen:

• Eine genaue und detaillierte Beschreibung des Problems

• Einen Proof-of-Concept-Exploit

• Eine Beispielanwendung in Form einer APK

• Eine Schritt-für-Schritt-Erklärung, wie die Schwachstelle zuverlässig reproduziert werden kann

• Eine klare Analyse und Demonstration der Auswirkungen der Schwachstelle

| | Kategorie | | 1) Remote/Keine Benutzerinteraktion | | 2) Benutzer muss einem Link folgen, der die verwundbare App ausnutzt | | 3) Benutzer muss bösartige App installieren oder die Opfer-App ist nicht standardmäßig konfiguriert | | 4) Angreifer muss im selben Netzwerk sein (z. B. MiTM) | |

| | A) Arbiträre Codeausführung | | 300.000 $ | | 150.000 $ | | 15.000 $ | | 9.000 $ | |

| | B) Diebstahl sensibler Daten* | | 75.000 $ | | 37.500 $ | | 9.000 $ | | 6.000 $ | |

| | C) Andere Schwachstellen | | 24.000 $ | | 9.000 $ | | 4.500 $ | | 2.400 $ | |

“Einige zusätzliche, kleinere Änderungen wurden auch an unseren Regeln vorgenommen. Zum Beispiel ist der 2x-Modifikator für SDKs jetzt in die regulären Belohnungen integriert. Dies sollte die Gesamtbelohnungen erhöhen und die Entscheidungen des Panels erleichtern”, sagte Google-Sicherheitsingenieur Kristoffer Blasiak.