Googles Android-Bug-Bounty: Erfolgsbilanz nach einem Jahr und Prämienerhöhung
Seit einem Jahr gibt es das Android Bug-Bounty-Programm. Google findet es einen vollen Erfolg und erhöht die Meldeprämien.
(Bild: Virrage Images/Shutterstock.com)
Google zieht nach einem Jahr Laufzeit des "Mobile Vulnerability Reward Program" (VRP), also dem Bug-Bounty-Programm für Android-Apps, Bilanz. Es ist ein voller Erfolg, findet das Unternehmen – und erhöht die Prämien teils um den Faktor zehn.
In einem Blog-Beitrag schreibt das "Bughunters"-Team, dass in dem Jahr 40 valide Meldungen zu Sicherheitslücken durch das Android-Bug-Bounty-Programm eingegangen seien. Die hätten den Meldern insgesamt fast 100.000 US-Dollar Belohnung eingebracht.
Android Bug-Bounty: Verbreitete Schwachstellen
Der Großteil der Sicherheitslücken fiel in die Kategorien Umgehungen von Berechtigungseinschränkungen respektive fehlende Rechteprüfung, sogenannte Intent-Redirection (Umleitung von Nachrichtenobjekten [=Intent] auf von Angreifern kontrollierte, bösartige Apps oder App-Komponenten), Probleme rund um CreatePackageContext und Typosquatting von Paketnamen. Die dadurch aufgerissenen Sicherheitslücken ermöglichten Angreifern, lokal beliebigen Code auszuführen – in einigen Fällen sogar in von Google entwickelten SDKs –, beliebigen Code nach dem Folgen eines Links auszuführen oder Diebstahl von sensiblen Informationen.
Ziel sei es stets gewesen, Schwachstellen in Googles Android-Apps auszubessern und so Nutzer und ihre Daten zu schützen, schreibt Google. Das solle durch Anerkennung der harten Arbeit und der Beiträge von IT-Sicherheitsforschern erfolgen, die Google helfen, die Sicherheit der Apps zu verbessern. Es sei ein voller Erfolg gewesen, aber basierend auf Rückmeldungen der fähigsten Bug-Melder wolle man den zweiten Teil noch verbessern.
Mobile Vulnerability Reward Program: Erhöhte Prämien
Zum einen hat Google den Betrag erhöht, den es für eine Lücke in den wichtigen Google-Apps ausschüttet – für eine Remote Code Execution-Lücke in einer Google-Tier1-App wie Gmail könnten Melder anstatt 30.000 nun bis zu 300.000 US-Dollar einstreichen. Zum anderen lege man mehr Wert auf die Qualität der Berichte und der demonstrierten Auswirkungen. Mit den Prämienerhöhungen für einige Bereiche will Google auch den Fokus der IT-Forscher darauf lenken, damit die Berichte mit den schlimmsten Auswirkungen angemessen belohnt werden.
Um etwas feingeschliffenere Berichte zu erhalten, mit denen sich etwa Sicherheitslücken leichter nachstellen und Entscheidungen schneller treffen lassen, führt Google einen qualitätsbasierten Faktor ein. Berichte von außergewöhnlicher Qualität (exceptional quality) erhalten den Faktor 1,5 beaufschlagt, gute Qualität Faktor 1 und niedrige Qualität hingegen einen Qualitätsfaktor von 0,5 für die zu zahlende Belohnung. Hinweise, wie diese Einstufungen zu erreichen sind, liefern die aktualisierten Regeln des Google Bug-Bounty-Programms.
Vor einem Jahr hatte Google das Bug-Bounty-Programm ins Leben gerufen. Nicht nur Googles eigene Android-Apps fallen darunter, sondern auch die von anderen Unternehmen. Für IT-Sicherheitsforscher kann sich das lohnen: Im Jahr 2023 zahlte Google insgesamt zehn Millionen US-Dollar für gemeldete Lücken im Rahmen des VRP an 632 Meldende aus, 2022 gab es sogar 12 Millionen US-Dollar für 703 IT-Forensiker.
(dmk)