Android Security: Google belohnt Finder von Sicherheitslücken
Sicherheit ist 2015 ein wichtiges Gesprächsthema in Bezug auf mobile Betriebssysteme – aber darüber Reden allein reicht nicht. Was die Sicherheit angeht, ist Google bereits ziemlich gut aufgestellt, aber selbst dem Unternehmen ist bewusst, dass es unmöglich ist, jede Lücke selbst zu schließen.
Aus diesem Grund hat Google sein Belohnungssystem für Android weiter ausgebaut. Die Bedingungen sind einfach: ihr findet einen Bug, Google belohnt euch dafür. Je größer die Hilfe bzw. das potentielle Risiko durch den Fehler ist, desto mehr bekommt man auch für den helfenden Hinweis.
Das bloße Erkennen eines Fehlers oder einer Sicherheitslücke bringt einem somit schon zwischen $500 und $2000 ein. Sollte man hingegen Beispielfälle zusammen mit der dazu gehörigen Lösung des Problems zur Verfügung stellen können, sind es schon bis zu $10000. Kann man darüber hinaus nachweislich darlegen, dass es ein sehr hohes Sicherheitsrisiko besteht und dass ein Gerät dadurch anfällig für Attacken durch installierte Apps von Drittanbietern ist, wird das von Google mit einer Summe zwischen $20000 und $30000 entlohnt.
Allerdings gibt es einige Einschränkungen. Zunächst einmal gilt das ganze Programm bzw. die Belohnungen lediglich in Bezug auf entdeckte Schwachstellen, die das AOSP (Android Open Source Project), die OEMs oder die Kernel-Codes des Nexus 9 sowie Nexus 6 betreffen. Google macht außerdem weitere Ausnahmen bei den Chipsatzcodes, wenn die Schwachstelle Android betrifft. Zudem gelten die folgenden, verbindlichen Regeln:
- nur der erste Bericht zu einer bestimmten Schwachstelle wird belohnt
- Fehler, die bereits öffentlich bekannt gegeben wurden, oder solche, die lediglich für Drittanbieterzwecke, aber nicht zur Behebung des Fehlers dienen, werden normalerweise nicht entlohnt
Nicht als Schwachstelle gelten:
- Probleme, die sehr aufwändige Nutzeraktionen voraussetzen. Ein Beispiel hierfür ist, dass die Schwachstelle nur dann auftritt, wenn eine App installiert wurde und außergewöhnliche Konfigurationseinstellungen durch den Nutzers vorgenommen werden
- Phishing-Attacken, die durch Betrug an Userdaten gelangen
- Malware-Elemente in Verbindung mit Tabjacking / UI-Redressing, durch die Softwarelemente bedroht sind
- Probleme, die lediglich Userdebugs betreffen oder die den Zugriff auf die ADB (Android Debug Bridge) erfordern
- Fehler, die nur zum Absturz einer App führen
Genauere Details gibt es unter www.google.com/about/appsecurity/android-rewards/index.html . Entwickler oder Sicherheitsexperten, die ein Händchen dafür haben, oben beschriebene Fehler und Schwachstellen zu finden und zu entfernen, sollten sich mit allen Details zum Programm vertraut zu machen. Mit ein bisschen Glück unterstützt man damit nämlich nicht nur den Prozess für ein sichereres Android, sondern kann gleichzeitig auch noch ein bisschen Geld verdienen.