Prozessoren und LTE-Modems: Qualcomm startet begrenztes Bug-Bounty-Programm

In Android-Security-Updates finden sich häufig Schwachstellen in Qualcomm-Produkten. Das Unternehmen will die Security mit einem neuen Bug-Bounty-Programm verbessern - hat jedoch einige Einschränkungen.

Artikel veröffentlicht am ,
Qualcomm will Forscher animieren, Sicherheitslücken zu melden.
Qualcomm will Forscher animieren, Sicherheitslücken zu melden. (Bild: Marc Sauter/Golem.de)

Der Chiphersteller Qualcomm hat in Zusammenarbeit mit Hacker One ein Bug-Bounty-Programm angekündigt. Sicherheitsforscher sollen bis zu 15.000 US-Dollar bekommen, wenn sie Schwachstellen an das Unternehmen melden. Die Schwachstellen können sowohl in SoCs als auch in Modems des Herstellers gesucht werden.

Stellenmarkt
  1. Senior IT Systems Engineer Backup (w/m/d)
    noris network AG, Nürnberg, München, Aschheim, Berlin (Home-Office)
  2. Mitarbeiter Arbeitszeitmanagement / Projektleitung (w/m/d)
    Medizinische Einrichtungen des Bezirks Oberpfalz - medbo KU, Regensburg, Parsberg, Wöllershof
Detailsuche

Bei den SoCs werden die Snapdragon-Prozessoren mit den Versionsnummern 400, 615, 801, 805 808, 810, 820 und 821 unterstützt, bei den Modems kann in den Modellen X5, X7, X12 und X16 nach Problemen gesucht werden. Die gefundenen Schwachstellen müssen Angreifer in die Lage versetzen, Code auszuführen - einfache Bugs reichen also nicht aus. Kritische Lücken im Modem bringen bis zu 15.000 US-Dollar, kritische Probleme im Bootloader 9.000 US-Dollar.

Softwareseitig werden die Firmware von WLAN und Bluetooth-Geräten, von Qualcomm entwickelte Programme mit privilegiertem Zugang im Userspace und Qualcomms Secure Execution Environment (QSEE) oder die Trustzone berücksichtigt.

Weite Verbreitung der Prozessoren

Die Snapdragon-Prozessoren haben eine enorm weite Verbreitung bei aktuellen Smartphones. Schaut man sich Googles Security Bulletins für Android aus den vergangenen Monaten an, werden regelmäßig Schwachstellen in den Qualcomm-Treibern gefunden. Besonders prominent wurden Schwachstellen in Qualcomm-Komponenten bei den Quadrooter-Sicherheitslücken. Damals waren rund 900 Millionen Geräte betroffen.

Golem Akademie
  1. PostgreSQL Fundamentals
    14.-17. September 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Eine relevante Einschränkung des Programms betrifft die verwendeten Kernel-Versionen, unterstützt werden nur Versionen ab 3.14. In der Redaktion fanden wir auf Anhieb mehrere nicht sonderlich alte Android-Geräte, die zwar einen der unterstützen Prozessoren nutzen, aber mit Kernel-Versionen vor 3.14 laufen und somit außerhalb des Programms liegen würden.

Ein Hintergrund zu Hacker One findet sich in diesem Artikel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Bitkom: Entscheidungsfreudiges Digitalministerium im Bund nötig
    Bitkom
    "Entscheidungsfreudiges" Digitalministerium im Bund nötig

    Die Verbände Bitkom und Eco sind sich beim Digitalministerium einig. Eine kompetente Führung sei gefragt.

  3. Streit mit den USA: EU stellt geplante Digitalsteuer zurück
    Streit mit den USA
    EU stellt geplante Digitalsteuer zurück

    Der Kampf um die internationale Mindeststeuer für IT-Konzerne geht in die nächste Runde.

maze_1980 22. Nov 2016

Wenn sie wenigstens Zugriff auf die Sourcen geben würden...aber so ist das eher ein...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /