Software::Android
Bilanz: Ein Jahr Android Security Rewards
Seit einem Jahr gibt es die Android Security Rewards, die Google an Forscher auszahlt, die Sicherheitslücken in Android melden. Das hat Google bisher 550.000 US-Dollar gekostet, was gemessen am potentiell vermeideten Schaden ein sehr geringer Betrag ist.
android.com
Quan To, verantwortlich für die Android-Sicherheit im Android-Projekt, zieht
ein Jahr nach dem Beginn der Android Security Rewards eine sehr positive Bilanz. Im Juni 2015 hatte Google sein bestehendes Programm, Prämien an Entdecker von Sicherheitslücken zu zahlen, auf Android ausgeweitet. Dieser Schritt war auch bitter nötig, nachdem kurz zuvor eine Reihe von kritischen Lücken bekannt worden waren.
Schon vor zwei Monaten konnte Google berichten, dass im Rahmen des Programms über 100 Fehler gefunden und behoben wurden, wofür über 200.000 US-Dollar gezahlt wurden. Daneben hatte Google zahlreiche weitere Maßnahmen eingeführt, um die Sicherheit von Android und seinen Apps zu erhöhen.
Jetzt beziffert To die Anzahl der gemeldeten und anerkannten Fehler bereits auf 250. Ein Drittel davon betraf den Media-Server, der zudem im kommenden Android N zusätzlich abgesichert wurde und damit nach Einschätzung von To nun wesentlich weniger empfindlich gegen Sicherheitslücken ist. Rund ein Viertel der Sicherheitslücken betrafen den Linux-Kernel und Treiber. Deren Behebung kommt daher auch vielen anderen Linux-Nutzern zugute.
Insgesamt zahlte Google im vergangenen Jahr über 550.000 US-Dollar an 82 Personen. Im Schnitt wurde jede Sicherheitslücke also mit 2.200 US-Dollar prämiert, und jeder Sicherheitsforscher erhielt im Schnitt 6.700 USD. Ein Forscher, der 26 Lücken meldete, erhielt 75.750 USD insgesamt und führt damit die Liste an. Weitere 14 Forscher erhielten 10.000 USD oder mehr. Die beteiligten Forscher konnten keine Lücke aufdecken, die aus der Ferne einen Einbruch in die TrustZone ermöglicht oder den Verified Boot kompromittiert hätte.
Aufgrund des Erfolgs der Aktion erhöht Google nun die Prämien. Für eine kritische Lücke sollen statt 3.000 nun 4.000 US-Dollar gezahlt werden. Google legt noch einmal 50% drauf, wenn die Meldung eine besonders hohe Qualität aufweist, einen CTS-Test oder einen Patch mitliefert. Eine Kernel-Lücke, die aus der Ferne ausgenutzt werden kann, soll dem Forscher nun 30.000 statt 20.000 USD einbringen. Wird darüber hinaus ein Angriff auf die TrustZone oder den Verified Boot ermöglicht, so sollen statt 30.000 USD nun 50.000 bezahlt werden. Details zu den Android Security Rewards findet man in einem Regelwerk und in der Bug Hunter University.
){kind=logo}
