Bug Bounty: Google hat im ersten Jahr 550.000 Dollar für 250 Sicherheitslücken in Android ausgezahlt

 

Google hat mit seinen Bug Bounty-Programmen und dem Vulnerability Reward Program schon gute Erfahrungen gemacht und so viele kritische Sicherheitslücken stopfen können. Vor genau einem Jahr wurde auch Android aufgenommen und zum Abschuss freigegeben. Jetzt blickt man auf das vergangenen Jahr zurück und nennt viele Statistiken rund um die gefundenen Bugs und die ausgezahlten Summen.

Von den diversen Bug Bounty-Programmen haben gleich alle drei Seiten etwas und es ergibt sich eine Win-Win-Win-Situation. Der Entdecker der Lücke bekommt von Google eine große Summe überwiesen und kann bei Erfolg seinen Lebensunterhalt damit bestreiten. Google bekommt Hilfe bei der Entdeckung von kritischen Lücken, die man selbst nicht so schnell und mit doch relativ wenig finanziellem Aufwand gefunden hätte. Und der Endnutzer profitiert von sicheren Produkten, in denen seine Daten sicher sind.

Im ersten Jahr hat Google mehr als 250 Meldungen erhalten, die für das Programm qualifiziert waren und eine Auszahlung nach sich gezogen haben. Insgesamt hat man über 550.000 Dollar an 82 Personen oder Unternehmen ausgezahlt. Im Durchschnitt kommt man dabei 2.200 Dollar pro Lücke oder 6.700 Dollar pro Person. Der fleißigste Hacker war Heisecode (Hat nichts mit dem Heise-Verlag zu tun) mit ganzen 26 gemeldeten Lücken und einer Auszahlung von 75.750 Dollar. Auch 15 weitere Personen haben mehr als 10.000 Dollar bekommen.

Mehr als ein Drittel aller gefundenen Lücken beziehen sich auf den Mediaserver, der sich im vergangenen Jahr durch den Stagefright-Bug als offenes Scheunentor für das Betriebssystem erwiesen hat. Aufgrund dessen wurde dieser für die kommende Version komplett überarbeitet. Es gab keine Auszahlung für die höchste Stufe, bei der die volle Kontrolle über das Betriebssystem oder über den Bootvorgang übernommen werden konnte. Konkret geht es darum, dass eine App in die „TrustZone“ kommt oder sich verifiziert in den Bootvorgang einklinken kann.

Um die Motivation der Hacker noch einmal zu steigern, hat Google nun die Prämien für alle Stufen erhöht. Für einfache Lücken wird die Prämie von 3.000 auf 4.000 Dollar erhöht. Wer gleich noch einen Patch mitliefert, bekommt noch einmal 50% mehr. Wer bis in den Kernel vordringen kann bekommt nun statt 20.000 schon 30.000 Dollar. Für die höchste Stufe, die bisher noch nicht geknackt werden konnte, erhöht man die Prämie gleich von 30.000 auf 50.000 Dollar.

Für Google scheint das Programm ein voller Erfolg zu sein, denn jede Lücke im Betriebssystem schadet natürlich dem Image von Android und auch vom Unternehmen. Für nur etwas mehr als eine halbe Million Dollar – also Peanuts – hat man mehr als 250 Lücken gestopft. Würde Google diese Personen fest im Unternehmen angestellt haben, wäre das ganze deutlich teurer geworden.

» Ankündigung im Android Developers Blog

---

---