Project Zero Price: Google zahlt 200.000 Dollar für kritische Android-Lücke

Trotz der Existenz vieler Belohnungsprogramme für Hacker, die Sicherheitslücken vertraulich an Hersteller melden, hat Google sich entschieden, einen weiteren Wettbewerb ins Leben zu rufen. Der Project Zero Price bietet 200.000 US-Dollar für den ersten Sicherheitsforscher der eine Lücke oder Kombination aus Lücken findet, mit dem man Schadcode aus der Ferne auf einem Android-Gerät zur Ausführung bringen kann. Dafür darf der Angreifer nur die Telefonnummer und E-Mail-Adresse des Geräts kennen. 100.000 US-Dollar gibt es für die zweite Einsendung dieser Art, und mindestens 50.000 US-Dollar für weitere Einsendungen.

Der Wettbewerb läuft sechs Monate und Interessenten sollen ihre Bugs über das Ticket-System des Android-Open-Source-Projekts melden. Bugs, die aus dem Rahmen des Wettbewerbs fallen kommen unter Umständen trotzdem für die normalen Android-Bug-Bounties in Frage. Google betont, dass man die Details zu den Schwachstellen am Ende auf jeden Fall öffentlich machen werde. Laut Google wolle man mit dem Wettbewerb das Verständnis der Öffentlichkeit für kritische Android-Bugs verbessern. Es gäbe oft Gerüchte über Remote-Exploits, mit öffentlich gemachten Bugs könne die Forschergemeinde als Ganzes mehr darüber lernen, wie diese funktionieren. (fab)