Bug Bounty: Google hat 2016 mehr als 3 Millionen Dollar für Bugs in Android, Chrome & Co. ausbezahlt

google 

Schon seit vielen Jahren betreibt Google das Vulnerability Reward-Programm, mit dem man Entwicklern und Hackern eine Prämie für das Entdecken und Melden von Sicherheitslücken in Google-Produkten auszahlt. Zum Jahresanfang blickt das Team dahinter nun wieder zurück und hat einige Zahlen zu dem Programm genannt. Und dabei war 2016 durchaus ein Jahr der Rekorde.


Das Vulnerability Reward-Programm ist ein Win-Win-Win-Projekt für alle Seiten: Hacker können sich dadurch auf legalem Wege durch das knacken von Software (sehr) viel Geld verdienen. Google profitiert davon, dass die eigenen Projekte noch sicherer werden und Sicherheitslücken nicht ausgenutzt werden. Und am Ende profitiert davon natürlich auch der Endnutzer, der sicherer Software einsetzen kann.

bug bounty vulnerability reward 2016

Allein im vergangenen Jahr wurden mehr als 3 Millionen Dollar an die Hacker ausbezahlt, wobei dies einen neuen Rekord innerhalb eines Jahres darstellt. Insgesamt hat man seit dem Start des Programms im Jahr 2010 nämlich „erst“ 9 Millionen Dollar ausbezahlt. Dieser starke Sprung kommt vor allem daher, dass man Android aufgenommen hat, und dieses weit verbreitete und sehr komplexe Betriebssystem natürlich über einige gefährliche Lücken verfügte.

Und so kommt es auch, dass etwa 1 Million Dollar jeweils für Android und Chrome ausgezahlt worden sind, und die weitere Million verteilt sich auf viele andere Google-Produkte, die nicht extra erwähnt werden. Insgesamt wurden im vergangenen Jahr mehr als 1.000 gefundene und gemeldete Sicherheitslücken gemeldet und von Google prämiert. Diese stammten von über 350 einzelnen Personen, Gruppen oder Organisationen. Im Durchschnitt hat also jeder mindestens 2 Lücken gefunden und gemeldet.



Die größte einzelne Auszahlung betrug mehr als 100.000 Dollar und wurde für einen gefundenen Bug in Chrome OS ausbezahlt. Erst im vergangenen Jahr hatte Google die Prämie für einen Chrome OS-Hack von 50.000 auf 100.000 Dollar erhöht, da bisher noch keine Lücke gemeldet worden ist. Offenbar war dies Ansporn genug, um in den Untiefen des Betriebssystems nach einer Lücke zu finden. Diese soll es durch einen „one Byte DNS Library Overflow“ ermöglicht haben, die Kontrolle über das Chromebook des Nutzers zu übernehmen.

Mit „nur“ 3 Millionen Dollar ist Google eigentlich relativ billig davon gekommen. Die meisten Lücken wären ohne die Hilfe dieser privaten Personen sonst wohl niemals gefunden worden und hätten von Angreifern ausgenutzt werden können – und dieser Image-Schaden würde deutlich schwerer als diese 3 Millionen Dollar wiegen. Im Blogbeitrag in der Quelle geht man noch auf einige Fälle detaillierter ein und erklärt die Story dahinter, unter anderem auch eine Lücke in Googles Payment-Service.

» Ankündigung im Google Security-Blog


Teile diesen Artikel: