GoogleWatchBlog

Bug Bounty: Hacker entdeckt Lücke in Chrome OS und erhält von Google 100.000 Dollar – zum zweiten mal

» Web-Version «

Im Rahmen des Vulnerability Reward Programs zahlt Google immer wieder hohe Prämien an Hobby-Hacker aus, die Lücken in den eigenen Produkten oder auch in Produkten von Partner-Unternehmen finden. Je nach Schwere der Lücke kann man sich dabei mehrere durchschnittliche Jahresgehälter mit nur einer Aufgabe verdienen. Jetzt ist es einem Bastler gelungen, zum zweiten mal eine 100.000 Dollar-Lücke zu finden und an Google zu vermelden.


Google ist bestrebt darin, die eigenen Produkte und Plattformen zu Festungen zu machen, die sich nicht von außen angreifen lassen – und das ist dem Unternehmen hohe Prämien im eigenen Bug Bounty-Programm wert. Anfang des vergangenen Jahres hatte man dabei die Prämien für einen Chrome OS-Hack auf bis zu 100.000 Dollar erhöht. Eine solch hohe Summe wird natürlich nur sehr selten ausgezahlt, aber eine Person hat sich nun schon zum zweiten mal über einen sechsstelligen Scheck von Google freuen dürfen.

Eine 100.000 Dollar-Lücke in Chrome OS erfordert es, dass es einem Nutzer gelingt, aus dem Gastmodus auszubrechen, Code auszuführen und dauerhaft – also auch nach dem Neustart – die Kontrolle über das Betriebssystem zu übernehmen. Da Google das eigene OS gerne als das sicherste der Welt bewerben würde – und das auch häufig suggeriert – ist man natürlich bestrebt darin, dieses Versprechen auch zu halten. Eine solch hohe Prämie erhöht so natürlich den Druck und sorgt dafür, dass selbst die kleinsten Lücken noch gestopft werden.

Die jetzt entdeckte Lücke besteht aus insgesamt fünf Schwachstellen, die der Hacker miteinander kombiniert hat. Da das ganz sehr ins technische geht, und ich es ehrlich gesagt nicht wirklich nachvollziehen kann, hier nur die fünf Lücken die zusammengespielt haben:

  • An out-of-bounds memory access flaw in the V8 JavaScript engine (CVE-2017-15401)
  • Privilege escalation in PageState (CVE-2017-15402)
  • Command injection flaw in the network_diag component (CVE-2017-15403)
  • Symlink traversal issues in crash_reporter (CVE-2017-15404)
  • and cryptohomed (CVE-2017-15405)



Google hat die Lücke mittlerweile gestopft und hat sie gleichzeitig mit dem KRACK-Update behoben. Damit ist das System wieder einmal ein großes Stück sicherer geworden. Auch wenn es sich erst einmal nach viel Geld anhört, lohnt sich ein solches Programm für Google natürlich. Würde man eigene Sicherheitsforscher dauerhaft auf so etwas ansetzen, müsste man sehr viel mehr Geld in die Hand nehmen. Und vermutlich haben Hobby-Hacker auch andere Ansätze als „gelernte“ Forscher.

Jährlich nimmt Google viele Millionen allein durch das Vulnerability Reward-Program in die Hand um die eigenen Produkt sicherer zu machen, profitiert aber natürlich auch enorm vom Marketing-Effekt. Auch viele andere Unternehmen zahlen mittlerweile hohe Prämien für solche Hacks. Ein Grund für diese hohe Prämien ist natürlich auch, dass die Hacker die entdeckten Lücken nicht anderweitig verkaufen und sie dann noch ausgenutzt werden.

Details zu der Lücke findet ihr unter folgendem Link:

» Details zu dem erfolgreichen Chrome OS Hack

Siehe auch
» Bug Bounty: Google hat im ersten Jahr 550.000 Dollar für 250 Sicherheitslücken in Android ausgezahlt
» Bug Bounty: Google hat 2016 mehr als 3 Millionen Dollar für Bugs in Android, Chrome & Co. ausbezahlt
» Bug Bounty: Google erhöht Prämien für erfolgreiche Hacks um mehrere tausend Dollar

[WCCF Tech]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren