Bug Bounty: Sicherheitsforscher können jetzt Android-Apps auseinandernehmen

Über ein neues Bug-Bounty-Programm können Sicherheitsforscher nun Android-Apps von unter anderem Google auf Sicherheit abklopfen. Es winken Geldprämien.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Mann in Anzug hält breit gefächerte Dollarscheine in die Kamera

(Bild: TierneyMJ/Shutterstock.com)

Lesezeit: 2 Min.

Sicherheitslücke gegen Geld: In Bug-Bounty-Programmen malträtieren Sicherheitsforscher Softwares von bestimmen Anbietern und streichen nach der Meldung an den Hersteller Geldprämien ein. Google hat für seine Dienste und Software bereits einige solcher Programme laufen. Nun können sich Sicherheitsforscher auch über Apps bestimmter Anbieter hermachen.

Wie aus einem Beitrag hervorgeht, fallen darunter Apps von unter anderem Google (YouTube, Maps etc.), Fitbit und Waymo. Halten sich Sicherheitsforscher an die von Google festgelegten Spielregeln, können sie für das Melden einer einzigen Sicherheitslücke eine Prämie von maximal 30.000 US-Dollar kassieren.

Die höchstmögliche Prämie gibt es etwa für das Entdecken einer Schadcode-Lücke im Webbrowser Chrome. Voraussetzungen dafür sind, dass der Sicherheitsforscher eigenen Code ohne Zutun eines potenziellen Opfers ausführen kann. Darunter fällt etwa, wenn der Forscher Code aus dem Netzwerk laden und ausführen kann und am Ende die volle Kontrolle über eine App erlangt. Muss ein Angreifer dafür als Man-in-the-Middle im Netzwerk sein, schrumpft die Prämie auf 2.250 US-Dollar.

Das Auffinden von Datenleak-Schwachstellen kann bis 7.500 US-Dollar einbringen, wenn Nutzerdaten betroffen sind. Ist das nicht der Fall, sind maximal 5.000 US-Dollar drin. Das Auffinden von etwa hart codierten API-Schlüsseln oder Attacken, für die Root-Rechte nötig sind, zählen nicht.

Solche Prämien können für versierte Sicherheitsforscher sehr lukrativ sein. Allein Google hat nach eigenen Angaben zufolge 2022 mehr als 12 Millionen US-Dollar für über 2900 gemeldete Sicherheitslücken ausgezahlt. Neben Google bieten auch beispielsweise Intel und Nintendo solche Programme an.

(des)