Abo
  • Services:
Anzeige
Für Android hat Google ein Bug-Bounty-Programm gestartet.
Für Android hat Google ein Bug-Bounty-Programm gestartet. (Bild: Impish/CC BY 3.0)

Security: Google startet Bounty-Programm für Android

Für Android hat Google ein Bug-Bounty-Programm gestartet.
Für Android hat Google ein Bug-Bounty-Programm gestartet. (Bild: Impish/CC BY 3.0)

Wer in Android eine Schwachstelle findet, wird von Google entlohnt. Der Suchmaschinenanbieter erweitert sein Bounty-Programm auf das mobile Betriebssystem - allerdings mit einigen Einschränkungen.

Anzeige

Google will künftig für das Entdecken von Sicherheitslücken in Android zahlen. Dazu erweitert der Android-Hersteller sein Bounty-Programm auf das mobile Betriebssystem. Bisher belohnt Google das Aufdecken von Sicherheitslücken im Browser Chrome und in seiner Linux-Distribution Chrome OS. Allerdings gibt es Einschränkungen: So darf nur auf den aktuellen Nexus-Geräten nach Schwachstellen gefahndet werden.

Auf den aktuellen Nexus 6 und Nexus 9 können Entwickler im Code des AOSP (Android Open Source Project) und im OEM-Code, der in Bibliotheken und Treibern eingesetzt wird, nach Schwächen suchen. Auch entdeckte Fehler in Androids Linux-Kernel und im Trustzone OS samt Modulen fallen unter das Bounty-Programm. Ausgenommen sind bislang der Nexus Player, Android Wear oder das Projekt Tango.

Gestaffelte Preisgelder

Je schwerwiegender der Fehler, desto höher fällt die Belohnung aus. Wer gleich einen Test für Androids Compatibility Test Suite und einen funktionierenden und getesteten Patch mitliefert, erhält zusätzlich Geld. So wird das Auffinden eines als kritisch eingestuften Bugs mit 2.000 US-Dollar belohnt, wer zusätzlich Test und Patch einreicht, erhält 8.000 US-Dollar.

Auch entwickelte Exploits fallen unter das Bounty-Programm. Wer aus der Ferne den Android-Kernel kompromittieren kann, wird mit 20.000 US-Dollar entlohnt. Allerdings gelten auch hier Einschränkungen: Ausgenommen sind Angriffe, die komplexe Benutzereingaben erfordern, etwa Veränderungen der Konfiguration. Ebenso wenig berücksichtigt werden Angriffe, die eine Veränderung der Benutzeroberfläche voraussetzen sowie Phishing-Angriffe oder Angriffe über die Android Debug Bridge (ADB).

Verantwortungsvolle Veröffentlichungen

Gefundene Schwachstellen müssen über den öffentlichen Bug Tracker des Android Open-Source-Projekts eingereicht werden. Google weist zudem darauf hin, dass entdeckte Fehler nicht zuvor publik gemacht worden sein dürfen und appelliert an die Entwickler, sich an seine Richtlinien zur verantwortungsvollen Veröffentlichung (Responsible Disclosure) von Schwachstellen zu halten. Sind die Fehler repariert, dürfen und sollen deren Entdecker öffentlich darüber berichten.

Google hat letztes Jahr insgesamt 1,5 Millionen US-Dollar an externe Entwickler ausgezahlt, die Bugs in Chrome oder anderen Produkten entdeckt haben. Kürzlich hatte Google erstmals einen Bericht zur Sicherheit von Android veröffentlicht und darin seine Maßnahmen zur Absicherung des mobilen Betriebssystems detailliert beschrieben. Durch sein Bug-Bounty-Programm will Google externen Entwicklern einen Anreiz geben, an der Absicherung von Android mitzuarbeiten und zudem verhindern, dass Informationen über kritische Schwachstellen an mögliche Kriminelle verkauft werden.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. ETAS GmbH, Stuttgart
  2. über Hays AG, Frankfurt
  3. ING-DiBa AG, Nürnberg, Frankfurt
  4. item Industrietechnik GmbH, Solingen


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. Tesla-Zukauf

    Firmengründer Grohmann ging offenbar im Streit

  2. Zahlungssystem

    Apple Pay soll Überweisungen zwischen Freunden ermöglichen

  3. Google

    Alphabet macht weit über 5 Milliarden Dollar Gewinn

  4. Quartalsbericht

    Microsofts Zukunft ist erfolgreich in die Cloud verschoben

  5. Quartalsbericht

    Amazon macht erneut riesigen Gewinn

  6. Datenschutzverordnung im Bundestag

    "Für uns ist jeden Tag der Tag der inneren Sicherheit"

  7. Aspire-Serie

    Acer stellt Notebooks für jeden Geldbeutel vor

  8. Acer Predator Triton 700

    Das Fenster oberhalb der Tastatur ist ein Clickpad

  9. Kollaborationsserver

    Owncloud 10 verbessert Gruppen- und Gästenutzung

  10. Panoramafreiheit

    Aidas Kussmund darf im Internet veröffentlicht werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

  1. Re: Allein schon die erste Erkenntnis...

    JumpLink | 08:26

  2. Re: Auch S6 (edge)

    RicoBrassers | 08:25

  3. Re: Welcher Hersteller tauscht aus?

    pumok | 08:24

  4. Re: Das ist ja nahezu ein Leichtgewicht, . . .

    chewbacca0815 | 08:22

  5. Re: Kandidatenauswahl beim Computerspielpreis

    Menplant | 08:22


  1. 07:52

  2. 07:19

  3. 00:11

  4. 23:21

  5. 22:37

  6. 20:24

  7. 18:00

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel