• IT-Karriere:
  • Services:

Security: Google startet Bounty-Programm für Android

Wer in Android eine Schwachstelle findet, wird von Google entlohnt. Der Suchmaschinenanbieter erweitert sein Bounty-Programm auf das mobile Betriebssystem - allerdings mit einigen Einschränkungen.

Artikel veröffentlicht am ,
Für Android hat Google ein Bug-Bounty-Programm gestartet.
Für Android hat Google ein Bug-Bounty-Programm gestartet. (Bild: Impish/CC BY 3.0)

Google will künftig für das Entdecken von Sicherheitslücken in Android zahlen. Dazu erweitert der Android-Hersteller sein Bounty-Programm auf das mobile Betriebssystem. Bisher belohnt Google das Aufdecken von Sicherheitslücken im Browser Chrome und in seiner Linux-Distribution Chrome OS. Allerdings gibt es Einschränkungen: So darf nur auf den aktuellen Nexus-Geräten nach Schwachstellen gefahndet werden.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Dillingen a.d. Donau
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Bonn

Auf den aktuellen Nexus 6 und Nexus 9 können Entwickler im Code des AOSP (Android Open Source Project) und im OEM-Code, der in Bibliotheken und Treibern eingesetzt wird, nach Schwächen suchen. Auch entdeckte Fehler in Androids Linux-Kernel und im Trustzone OS samt Modulen fallen unter das Bounty-Programm. Ausgenommen sind bislang der Nexus Player, Android Wear oder das Projekt Tango.

Gestaffelte Preisgelder

Je schwerwiegender der Fehler, desto höher fällt die Belohnung aus. Wer gleich einen Test für Androids Compatibility Test Suite und einen funktionierenden und getesteten Patch mitliefert, erhält zusätzlich Geld. So wird das Auffinden eines als kritisch eingestuften Bugs mit 2.000 US-Dollar belohnt, wer zusätzlich Test und Patch einreicht, erhält 8.000 US-Dollar.

Auch entwickelte Exploits fallen unter das Bounty-Programm. Wer aus der Ferne den Android-Kernel kompromittieren kann, wird mit 20.000 US-Dollar entlohnt. Allerdings gelten auch hier Einschränkungen: Ausgenommen sind Angriffe, die komplexe Benutzereingaben erfordern, etwa Veränderungen der Konfiguration. Ebenso wenig berücksichtigt werden Angriffe, die eine Veränderung der Benutzeroberfläche voraussetzen sowie Phishing-Angriffe oder Angriffe über die Android Debug Bridge (ADB).

Verantwortungsvolle Veröffentlichungen

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    3./4. Mai 2021, online
Weitere IT-Trainings

Gefundene Schwachstellen müssen über den öffentlichen Bug Tracker des Android Open-Source-Projekts eingereicht werden. Google weist zudem darauf hin, dass entdeckte Fehler nicht zuvor publik gemacht worden sein dürfen und appelliert an die Entwickler, sich an seine Richtlinien zur verantwortungsvollen Veröffentlichung (Responsible Disclosure) von Schwachstellen zu halten. Sind die Fehler repariert, dürfen und sollen deren Entdecker öffentlich darüber berichten.

Google hat letztes Jahr insgesamt 1,5 Millionen US-Dollar an externe Entwickler ausgezahlt, die Bugs in Chrome oder anderen Produkten entdeckt haben. Kürzlich hatte Google erstmals einen Bericht zur Sicherheit von Android veröffentlicht und darin seine Maßnahmen zur Absicherung des mobilen Betriebssystems detailliert beschrieben. Durch sein Bug-Bounty-Programm will Google externen Entwicklern einen Anreiz geben, an der Absicherung von Android mitzuarbeiten und zudem verhindern, dass Informationen über kritische Schwachstellen an mögliche Kriminelle verkauft werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /