Samsung zieht Bilanz und passt Bug-Bounty-Programm an
Auch Samsung betreibt ein Bug-Bounty-Programm. Der Hersteller bilanziert dessen Erfolge und kündigt Anpassungen an.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Samsung hat den Jahresbericht zu seinem Bug-Bounty-Programm veröffentlicht – den ersten überhaupt seit dessen Bestehen, wie das Unternehmen schreibt. Außerdem stehen einige Änderungen für das Programm an.
Das Bug-Bounty-Programm bestehe seit inzwischen mehr als sechs Jahren, schreibt Samsung in einer Ankündigung. Insgesamt seien seitdem rund 5 Millionen US-Dollar an Belohnungen geflossen. Im Jahr 2023 haben 113 IT-Sicherheitsforscher sich über 827.925 US-Dollar an Prämien freuen können. Die größte Einzelprämie betrug 57.190 US-Dollar und ging an dieselben Entdecker, die in Summe die höchsten Belohnungen einstreichen konnten, die Taszk Security Labs.
Veränderungen am Bug-Bounty-Programm von Samsung
Zwar seien Berichte über Lücken in den eigenen Exynos-Mobilfunkmodems (Baseband) nicht mehr Teil des Programms, dennoch hätten die Taszk-Mitarbeiter trotz Meldungen im Zusammenhang mit Baseband in Summe die höchsten Prämien erhalten. Und das trotz der reduzierten Gesamtprämie wegen des Baseband-Bezugs.
Samsung habe verstanden, dass unter anderem verbesserte Sicherheitsmechanismen das Auffinden von Schwachstellen erschweren. Das könne einige entmutigen, Funde zu melden, da die Nachforschungen aufgrund der potenziell niedrigen Belohnungen nicht lohnenswert seien. Dem will Samsung aktualisierte Bedingungen für das Bug-Bounty-Programm entgegenstellen. Vielen erschien schwierig vorauszusagen, wie schwerwiegend eine Lücke sei und wie hoch die Prämie ausfalle. Das sollen klarere Kriterien und eine Liste mit Faktoren zur Bestimmung der Belohnungshöhe vereinfachen. Die zugehörige FAQ hat Samsung ebenfalls angepasst.
Wie andere Unternehmen gewährt auch Samsung Boni für "gute Berichte". Zudem startet das Unternehmen nun ein Bug-Bounty-Programm für KI-Sicherheit, was aber noch in einem frühen Status sei und dessen Richtlinien erst noch ausgearbeitet werden müssten. Es sollen zudem weitere Bug-Bounty-Programme, -Ankündigungen und -Events in diesem Jahr folgen.
Die meisten großen Software-Unternehmen nutzen Bug-Bounty-Programme, um an externe Expertise zum Aufspüren von sicherheitsrelevanten Fehlern zu gelangen. Microsoft hat am Dienstag dieser Woche ebenfalls Rückschau gehalten. In den vergangenen zwölf Monaten haben die Redmonder sogar 16,6 Millionen US-Dollar an Prämien für Schwachstellenmeldungen verteilt, deutlich mehr als Samsung. Mit den nun angekündigten Anpassungen können IT-Forscher jedoch auch bei Samsung mit höheren Belohnungen für entsprechend aufbereitete Bug-Meldungen rechnen.
(dmk)