Google schickt Elite-Hacker auf die Jagd nach Sicherheitslücken

Unter "Project Zero" firmiert ein Team von Star-Hackern, das so genannten Zero-Day-Bugs schneller den Garaus machen soll, als sie neu entstehen. Einer davon ist der berühmte iPhone-, PS3-, Browser- und Android-Hacker Geohot.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 3 Min.

George Hotz aka Geohot hat sich einen Namen gemacht, als er 2007 als erster einen Jailbreak für das iPhone veröffentlichte. Später knackte er Sonys Playstation 3; Anfang des Jahres demonstrierte er mit Zero-Day-Lücken in Chrome und Firefox, dass er auch Browser knacken kann und kürzlich stellte er mit Towelroot ein quasi universelles Rooting-Tool für Android vor. Jetzt arbeitet er für Googles soeben vorgestelltes Project Zero, das ihn dafür bezahlt, dass er in Vollzeit seinem Hobby nachgeht: Sicherheitslücken finden und demonstrieren, wie man die ausnutzen kann.

Und Geohot ist nur einer der über zehn Elite-Hacker, deren Arbeit Chris Evans koordinieren soll. Der hat selbst eine beachtliche Liste von Sicherheitslücken veröffentlicht, bevor er als Security-Chef von Chromium auf die Verteidiger-Seite wechselte. Tavis Ormandy, Googles streitbarer Security-Rockstar, gehört genauso dazu, wie Ben Hawkes, der im vergangenen Jahr vor allem durch Lücken in Flash und Office auf sich aufmerksam machte. Im Frühjahr legte Ian Beer erste Fährten zu Project Zero, als er unter dem damals unbekannten Codenamen sechs Lücken in iOS, OS X und Safari bei Apple meldete.

Das Ziel von Project Zero ist das Auffinden und Beseitigen von Sicherheitslücken – und zwar nicht nur in Google-Produkten, sondern auch in Soft- und Hardware, die in deren Umfeld zum Einsatz kommt und damit eine sichere Nutzung des Internet gefährdet. Wie Evans und Hawkes gegenüber dem US-Magazin Wired erklärten, geht es vor allem darum, an kritischen Stellen das Reservoir potentieller Zero-Day-Lücken auszutrocknen, aus dem Geheimdienste und kriminelle Banden für ihre gezielten Angriffe schöpfen.

Solche Lücken sind teilweise schon recht dünn gesät. Dass etwa vier verschiedene Sicherheitsforscher gleichzeitig die gleiche kritische Lücke in Chrome OS entdeckt und gemeldet hatten, werten die Google-Experten als Zeichen dafür, dass es nicht beliebig viele solcher Lücken gibt. Wenn man also mehr solcher kritischen Bugs aufdecken könne, als neue hinzu kommen, wird die Luft für Exploit-Dealer und deren Kunden noch dünner: "Wir sind optimistisch, dass wir Bugs in bestimmten Bereichen schneller beseitigen können, als neue eingeführt werden", meint Hawkes. Und auf genau diese Bereiche wollen sich die Security-Experten konzentrieren.

Project Zero will die gefundenen Lücken ausschließlich an die jeweils betroffenen Hersteller melden und mit diesen zusammen an einem Fix arbeiten. Erst nach dessen Bereitstellung werden die Details dazu veröffentlicht. Wenn der Hersteller allerdings innerhalb von 60 bis 90 Tagen keinen Patch bereit stellt, wird man die Lücken gemäß der bereits praktizierten Policy auch ohne Patch publizieren. Wird ein Sicherheitsloch bereits aktiv ausgenutzt, kann diese Frist sogar noch kürzer ausfallen. Man darf gespannt auf die ersten Veröffentlichungen von Project Zero sein. (ju)