Anzeige
Für Android hat Google ein Bug-Bounty-Programm gestartet.
Für Android hat Google ein Bug-Bounty-Programm gestartet. (Bild: Impish/CC BY 3.0)

Security: Google startet Bounty-Programm für Android

Für Android hat Google ein Bug-Bounty-Programm gestartet.
Für Android hat Google ein Bug-Bounty-Programm gestartet. (Bild: Impish/CC BY 3.0)

Wer in Android eine Schwachstelle findet, wird von Google entlohnt. Der Suchmaschinenanbieter erweitert sein Bounty-Programm auf das mobile Betriebssystem - allerdings mit einigen Einschränkungen.

Anzeige

Google will künftig für das Entdecken von Sicherheitslücken in Android zahlen. Dazu erweitert der Android-Hersteller sein Bounty-Programm auf das mobile Betriebssystem. Bisher belohnt Google das Aufdecken von Sicherheitslücken im Browser Chrome und in seiner Linux-Distribution Chrome OS. Allerdings gibt es Einschränkungen: So darf nur auf den aktuellen Nexus-Geräten nach Schwachstellen gefahndet werden.

Auf den aktuellen Nexus 6 und Nexus 9 können Entwickler im Code des AOSP (Android Open Source Project) und im OEM-Code, der in Bibliotheken und Treibern eingesetzt wird, nach Schwächen suchen. Auch entdeckte Fehler in Androids Linux-Kernel und im Trustzone OS samt Modulen fallen unter das Bounty-Programm. Ausgenommen sind bislang der Nexus Player, Android Wear oder das Projekt Tango.

Gestaffelte Preisgelder

Je schwerwiegender der Fehler, desto höher fällt die Belohnung aus. Wer gleich einen Test für Androids Compatibility Test Suite und einen funktionierenden und getesteten Patch mitliefert, erhält zusätzlich Geld. So wird das Auffinden eines als kritisch eingestuften Bugs mit 2.000 US-Dollar belohnt, wer zusätzlich Test und Patch einreicht, erhält 8.000 US-Dollar.

Auch entwickelte Exploits fallen unter das Bounty-Programm. Wer aus der Ferne den Android-Kernel kompromittieren kann, wird mit 20.000 US-Dollar entlohnt. Allerdings gelten auch hier Einschränkungen: Ausgenommen sind Angriffe, die komplexe Benutzereingaben erfordern, etwa Veränderungen der Konfiguration. Ebenso wenig berücksichtigt werden Angriffe, die eine Veränderung der Benutzeroberfläche voraussetzen sowie Phishing-Angriffe oder Angriffe über die Android Debug Bridge (ADB).

Verantwortungsvolle Veröffentlichungen

Gefundene Schwachstellen müssen über den öffentlichen Bug Tracker des Android Open-Source-Projekts eingereicht werden. Google weist zudem darauf hin, dass entdeckte Fehler nicht zuvor publik gemacht worden sein dürfen und appelliert an die Entwickler, sich an seine Richtlinien zur verantwortungsvollen Veröffentlichung (Responsible Disclosure) von Schwachstellen zu halten. Sind die Fehler repariert, dürfen und sollen deren Entdecker öffentlich darüber berichten.

Google hat letztes Jahr insgesamt 1,5 Millionen US-Dollar an externe Entwickler ausgezahlt, die Bugs in Chrome oder anderen Produkten entdeckt haben. Kürzlich hatte Google erstmals einen Bericht zur Sicherheit von Android veröffentlicht und darin seine Maßnahmen zur Absicherung des mobilen Betriebssystems detailliert beschrieben. Durch sein Bug-Bounty-Programm will Google externen Entwicklern einen Anreiz geben, an der Absicherung von Android mitzuarbeiten und zudem verhindern, dass Informationen über kritische Schwachstellen an mögliche Kriminelle verkauft werden.


eye home zur Startseite

Kommentieren



Anzeige

  1. Software Engineer - Javascript Entwickler (m/w)
    Mindlab Solutions GmbH, Stuttgart
  2. Applikationsingenieur/in ESP - Systemerprobung im Fahrversuch
    Robert Bosch GmbH, Abstatt
  3. Java / JEE Entwickler (m/w)
    ckc group, Region Braunschweig/Wolfsburg
  4. Komponentenverantwortliche/r für Windowsserver
    Landeshauptstadt München, München

Detailsuche



Anzeige
Top-Angebote
  1. NEU: ASUS GeForce GTX 1080 bei Amazon bestellbar
    756,73€ (UVP 789€)
  2. NUR FÜR KURZE ZEIT: BenQ RL2455HM
    154,85€ inkl.Versand (solange der Vorrat reicht)
  3. VORBESTELLBAR: ASUS GeForce GTX 1080 Founders Edition
    789,00€

Weitere Angebote


Folgen Sie uns
       


  1. 100 MBit/s

    Telekom stattet zwei Städte mit Vectoring aus

  2. Sprachassistent

    Voßhoff will nicht mit Siri sprechen

  3. Sailfish OS

    Jolla bringt exklusives Smartphone nur für Entwickler

  4. Projektkommunikation

    Tausende Github-Nutzer haben Kontaktprobleme

  5. Lebensmittel-Lieferdienst

    Amazon Fresh soll doch in Deutschland starten

  6. Buglas

    Verband kritisiert Rückzug der Telekom bei Fiber To The Home

  7. Apple Store

    Apple darf keine Geschäfte in Indien eröffnen

  8. Mitsubishi MRJ90 und MRJ70

    Japans Regionaljet ist erst der Anfang

  9. Keysweeper

    FBI warnt vor Spion in USB-Ladegerät

  10. IBM-Markenkooperation

    Warum Watson in die Sesamstraße zieht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  2. APT28 Hackergruppe soll CDU angegriffen haben
  3. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"

  1. Re: So müßte Open Pandora aussehen ...

    Spiritogre | 20:06

  2. Re: Liebe Redaktion

    Emulex | 20:03

  3. Re: schönes Gerät, aber der GPD Win kommt auch...

    Spiritogre | 20:03

  4. Re: 58 km Autopilot pro Tag?

    oxybenzol | 20:00

  5. Re: Da hab ich einen Tip für Öttinger

    plutoniumsulfat | 19:58


  1. 19:05

  2. 17:50

  3. 17:01

  4. 14:53

  5. 13:39

  6. 12:47

  7. 12:30

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel