Jetzt auch mobil Kommentieren!

Bislang höchste Belohnung: Google belohnt Exploit-Meldung fürstlich

Von Markus Kasanmascheff am 21.01.2018 10:36 Uhr
19 Kommentare
Der Google-Mutterkonzern Alphabet hat einen chinesischen Si­cher­heits­for­scher des Unternehmens Qihoo 360 mit 112.500 US Dollar für das Mel­den einer Sicherheitslücke bei Pixel-Smartphones belohnt. Wie das Un­ter­nehmen ebenfalls bekanntgab, wurden die Prämien des Android Se­cu­ri­ty Awards Belohnungsprogramms weiter erhöht.

Mit den auch als Bug-Bounty bezeichneten Prämienzahlungen für das Aufspüren und Melden von Sicherheitslücken wollen IT Konzerne ihre Systeme sicherer machen. Hacker sollen zur Zusammenarbeit motiviert werden, statt entdeckte Lücken auf dem Schwarzmarkt zu ver­kau­fen oder für eigenes Prestige selbständig zu veröffentlichen.

Der von Alphabet belohnte Sicherheitsexperte Guang Gong aus dem Alpha Team von Qihoo 360 konnte sich im August 2017 über den bislang höchsten von Google ausgezahlten Betrag freuen. 105.000 US Dollar der Gesamtsumme kamen dabei aus dem Android Security Awards-Programm und noch einmal 7.500 US Dollar aus dem Chrome Rewards Programm. Die gemeldeten Sicherheitslücken hat Google bereits mit seinen Dezember-Patches für An­droid gefixt.

John McAfees Sicherheits-App D-VASIVE für Android

Exploits bei Pixel-Smartphones

Smartphones der Pixel-Reihe hätten im Rahmen einer so genannten Exploit-Chain durch zwei Bugs mit Malware infiziert werden können, die eine spätere Übernahme der Geräte ermöglicht hätte. Einer der Bugs betraf Googles V8-Java­script-Engine, über die Schadcode in den in einer Sandbox ablaufenden Render-Prozess des Chrome-Browsers eingeschleust werden konn­te. Ein zweiter Bug ermöglichte ein Knacken der Sandbox-Funktion über ein un­si­che­res Android-Modul, so dass Zugriff auf das System durch Schadcode möglich gewesen wäre.

Apple geizt bei Prämien

Wie Google zahlt auch Microsoft üppige Bug-Bounties und in den letzten Jahren wurden die dafür eingerichteten Programme bereits mehrfach aufgestockt. Auch Apple entlohnt Hacker für das Melden von Sicherheitslücken bei iOS. Für macOS gibt es allerdings bislang kein Ent­lohnungsprogramm, was Apple zunehmend Kritik einbringt. Ein Sicherheitsforscher hat deswegen Apple kürzlich sogar damit gedroht, von ihm bei macOS gefundene Lücken künftig einfach frei zugänglich zu machen.
whatsapp
Jede Woche neu: Top-News per E-Mail
19 Kommentare lesen & antworten
Verwandte Themen
Google Inc.
Hoch © 2000 - 2018 WinFuture Impressum Datenschutz