Achtung, Finderlohn!

Google bezahlt Sie für Android-Bugfixes

Kypriani Sinaris

©Shutterstock/mrkob

Google hat ein neues Security Reward Programm gestartet, welches dem Finder einer Schwachstelle im Betriebssystem einen Finderlohn von bis zu 30.000 Dollar verspricht. Wie hoch der Finderlohn ist, bemesse sich dabei an der Schwere des Bugs und daran, wie hoch die Qualität des Bug-Reports ist.

Das Programm soll zunächst nur für aktuelle Android Versionen greifen, die auf Nexus-Geräten – Nexus 6 und Nexus 9 – laufen. Bugs, die nicht durch das Google-Team selbst entdeckt wurden, können von der Community berichtet werden, was Sicherheit und Qualität des Systems erhöhen soll. Geeignete Bugs sind solche im Android-Open-Source-Project (AOSP)-Code, im OEM-Code (Libraries und Treiber), im Kernel, sowie dem TrustZone OS und Modulen.

Google präsentiert auf der offiziellen Ankündigung des Programms eine Tabelle, die die Abstufung des Finderlohns nach Schweregrad des Bugs illustriert. Danach zahlt Google schon 500 Dollar für einen Bug, der als moderat eingestuft wird, oder im Falle dessen, dass ein findiger Entwickler einen CTS-Test und einen Patch liefert, sogar bis zu 8000 Dollar.

AndroidRewardProgramHöhe der Belohnung im Android Security Reward Program, Quelle: https://www.google.com/about/appsecurity/android-rewards/index.html

Die Belohnung kann bis zu Beträgen im fünfstelligen Bereich wachsen: Für Angriffe auf die TrustZone oder die Verified Boot-Funktion, die beispielsweise über einen Remote-Angriffsvektor erfolgen, winken sogar 30.000 Dollar zusätzlich. Diese Zahlbereitschaft zeigt vor allem eins: Google nimmt die Gefahr durch Sicherheitslücken sehr ernst.

Wie , auf einem offiziellen Blogpost klarstellt, werde Android weiterhin an Google’s Patch Rewards Program teilnehmen.

Der offiziellen Programmseite können Entwickler neben relevanten FAQs zu den Bug Reports auch Informationen zur Art und Weise, wie ein Report ablaufen sollte, entnehmen. Google macht außerdem ausdrücklich darauf aufmerksam, dass Tests nur auf dem eigenen Gerät durchgeführt werden sollen: Der Zugriff auf fremde Geräte und Daten soll durch das Programm nicht angeregt werden.

Aufmacherbild: Hand holding cockroach von Shutterstock / Urheberrecht: mrkob

Verwandte Themen:

Geschrieben von
Kypriani Sinaris
Kypriani Sinaris
Kypriani Sinaris studierte Kognitive Linguistik an der Goethe Universität Frankfurt am Main. Seit 2015 ist sie Redakteurin bei JAXenter und dem Java Magazin.
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: