1 Jahr Android Security Rewards: 250 Lücken gefunden, Belohnungen werden erhöht

Seit nunmehr einem Jahr gibt es von Google die Security Rewards auch für Android. Wer Lücken findet und nicht für sich behält, wird belohnt. In diesem einem Jahr wurden über 250 Sicherheitslücken gemeldet, über die Hälfte davon befand sich im Media Server entdeckt, eine Komponente, die Google mit Android N stärker absichert. Die gefundenen Lücken resultierten in einer Auszahlung von über 550.000 Dollar an 82 Personen. Interessant auch: Über ein Viertel der Lücken betreffen Code, der außerhalb des AOSP entwickelt wurde. Natürlich werden auch diese Lücken geschlossen, es profitieren also nicht nur Nexus-Geräte davon.

Mit 26 gefunden Lücken und einer Auszahlungssumme in Höhe von 75.750 Dollar ist @heisecode der „Top Researcher“ des vergangenen Jahres. Erfreulicherweise musste Google die höchste Stufe der Belohnungen nicht auszahlen, die gibt es für einen kompletten Remote Exploit, der TrustZone oder Verified Boot zugänglich macht.

Auch Änderungen kündigt Google für die Android Security Rewards an. Hauptsächlich gibt es mehr Geld für gefundene Lücken. 33 Prozent mehr gibt es für einen „High Quality Vulnerability Report“ inklusive Proof of Concept. Für Kernel-Exploits (remote oder proximal) steigt die Belohnung von 20.000 auf 30.000 Dollar, die Königsdisziplin, der komplette Remote Exploit, steigt von 30.000 auf 50.000 Dollar.

Bleibt nur zu wünschen, dass die Android Securtity Rewards auch weiterhin dafür sorgen, dass Lücken erkannt und geschlossen werden, bevor sie von Kriminellen oder anderen Störern entdeckt werden.

(Quelle: Google Security)