Google: Ausbruch aus Hypervisor von Android bringt 250.000 US-Dollar
Google startet eine Fehlerjagd für den Hypervisor der Kernel-based Virtual Machine. Bis zu 250.000 US-Dollar Prämie winken.
Google hat zum Juni-Ende ein spezielles Bug-Bounty-Programm zum AufspĂĽren von SicherheitslĂĽcken im Hypervisor der Kernel-based VIrtual Machine (KVM) gestartet. Das Programm hat den Namen "kvmCTF" erhalten.
In der Ankündigung schreibt Google, dass die KVM ein robuster Open-Source-Hypervisor sei, der in Konsumenten- und Unternehmensumgebungen weitverbreitet sei – einschließlich Android und Googles Cloud. Google sei ein aktiver Projekt-Contributor und habe kvmCTF ausgelegt, um auf kollaborative Art und Weise beim Finden und Beheben von Schwachstellen und damit der Härtung dieser fundamentalen Sicherheitshürde zu helfen.
Google stellt Test-Umgebungen bereit
Das Unternehmen stellt Labor-Umgebungen bereit, in die Teilnehmer sich einloggen und ihre Exploits nutzen können, um Flaggen zu erhalten (CTF: Capture the Flag). Der Fokus von kvmCTF liege auf Zero-Day-Lücken, daher gebe es keine Erfolgsprämien für bereits ältere Schwachstellen. Detailinformationen bezüglich der Zero-Day-Lücke will Google nach dem Einpflegen und der Veröffentlichung eines Patches teilen. Das soll sicherstellen, dass Google sie zur gleichen Zeit erhält wie der Rest der Open-Source-Gemeinschaft.
kvmCTF nutze Googles Bare Metal Solution-Umgebung (BMS) zum Hosten der Infrastruktur. Unterschiedliche Prämien sollen für mehrere Schwachstellenstufen verteilt werden. Google listet folgende Stufen auf:
- Vollständiger Ausbruch aus VM: 250.000 US-Dollar
- Schreiben beliebiger Speicherbereiche: 100.000 US-Dollar
- Lesen beliebiger Speicherbereiche: 50.000 US-Dollar
- Schreiben relativer Speicherbereiche (relative memory write): 50.000 US-Dollar
- Denial-of-Service: 20.000 US-Dollar
- Lesen relativer Speicherbereiche (relative memory read): 10.000 US-Dollar
Für die Umsetzung der relativen Lese- und Schreibzugriffe sowie Teile von Denial-of-Service-Angriffen bietet kvmCTF die Möglichkeit, einen Host mit aktiviertem KASAN zu nutzen. Eine Zugriffsverletzung in KASAN bringt Teilnehmenden als Beweis der Lücke dann die Flagge ein.
Interessierte finden das konkrete kvmCTF-Regelwerk auf Github. Die Projektbetreuer von Google sind zudem auf Discord erreichbar fĂĽr Fragen und Einreichungen.
Für Google sind die Bug-Bounty-Programme in der Regel volle Erfolge. Im Mai gab das Unternehmen bekannt, dass das "Mobile Vulnerability Reward Program" (VRP), also das Bug-Bounty-Programm für Android-Apps, für 40 gültige Meldungen den Meldern rund 100.000 US-Dollar an Prämien eingebracht habe – allein im ersten Jahr der Laufzeit. Alle VRPs von Google aus dem Jahr 2023 kamen zusammen auf eine Ausschüttungssumme von zehn Millionen US-Dollar, die an 632 Meldende gingen.
(dmk)