Abo
  • Services:

Android-Apps: Google belohnt Fehlersuche im Play Store

Um die Sicherheit im Play Store zu erhöhen, führt Google ein Bug-Bounty-Programm für Android-Apps ein. Wer bei teilnehmenden App-Entwicklern einen sicherheitsrelevanten Bug findet, soll 1.000 US-Dollar erhalten. Aktuell nehmen Google selbst sowie acht weitere App-Anbieter teil.

Artikel veröffentlicht am ,
Google bietet für den Play Store ein Bug-Bounty-Programm an.
Google bietet für den Play Store ein Bug-Bounty-Programm an. (Bild: Screenshot: Golem.de)

Google hat in Zusammenarbeit mit dem Portal Hackerone ein Bug-Bounty-Programm für seinen Play Store gestartet. Sicherheitsforscher können Entwicklern Bugs melden, die sicherheitsrelevant sind, und erhalten daraufhin eine Belohnung. Das Programm nennt sich Google Play Security Reward Program.

1.000 US-Dollar für erfolgreich beseitigten Bug

Stellenmarkt
  1. PDV-Systeme GmbH, Dachau
  2. wfv Werkzeug-, Formen- und Vorrichtungsbau GmbH, Lampertheim

Hackerone zufolge solle es für einen gemeldeten Bug, der erfolgreich beseitigt wurde, einen Betrag von 1.000 US-Dollar geben. Die erfolgreiche Beseitigung ist Voraussetzung dafür, dass der Betrag ausgezahlt wird.

Sicherheitsforscher können allerdings nicht einfach jede Android-App im Play Store untersuchen und für gefundene Fehler Geld einheimsen: Die Aktion ist auf Entwickler beschränkt, die eingewilligt haben, am Programm teilzunehmen. Aktuell sind das Google mit seinen Android-Apps sowie Alibaba, Dropbox, Duolingo, Headspace, Line, Mail.ru, Snapchat und Tinder.

Aktuell ist das Programm nur auf RCE-Schwachstellen (Remote Code Execution) limitiert. Wer bei den teilnehmenden Entwicklern und deren Apps eine derartige Schwachstelle gefunden hat, muss sie den App-Herstellern melden. Ist das Problem gelöst, können sich die Entdecker an Google und das Play Store Security Reward Program wenden.

Belohnung nur bei ausgewählten Entwicklern

Ist der Hergang nachvollziehbar, sollen die Entdecker den Betrag ausgezahlt bekommen. Google selbst nennt keinen Betrag, auf der Erklärungsseite von Hackerone werden aber die erwähnten 1.000 US-Dollar genannt. Für entdeckte Bugs bei Entwicklern, die nicht offiziell am Bounty-Programm teilnehmen, gibt es keine Belohnung.

Mit den aktuell teilnehmenden Entwicklern will Google das Programm testen und wartet auf Nutzerfeedback. Mit der Zeit sollen noch weitere Android-Entwickler am Bug-Bounty-Programm von Google teilnehmen.



Anzeige
Top-Angebote
  1. (aktuell u. a. ASUS ROG MAXIMUS XI HERO (WiFI) Call of Duty Black Ops 4 Edition 314€, Canton DM...
  2. 439,00€

Folgen Sie uns
       


Anthem angespielt

In unserer Vorschau zu Anthem beleuchten wir vor allem, was es abseits vom Ballern in Biowares Shooter zu tun gibt.

Anthem angespielt Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten
    Karma-Spyware
    Wie US-Auftragsspione beliebige iPhones hackten

    Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
    Ein Bericht von Friedhelm Greis

    1. Update O2-Nutzer berichten über eSIM-Ausfälle beim iPhone
    2. Apple iPhone 11 soll Trio-Kamerasystem erhalten
    3. iPhone mit eSIM im Test Endlich Dual-SIM auf dem iPhone

    Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
    Begriffe, Architekturen, Produkte
    Große Datenmengen in Echtzeit analysieren

    Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
    Von George Anadiotis


        •  /