Android: Alle Apps ab 100 Mio. Downloads werden ins Bug-Bounty-Programm aufgenommen
Vorgestern wurde bekannt, dass eine App mit mehr als 100 Millionen Installationen im Play Store von Google ein schädliches Update bekam und so Malware mitbrachte. Auf Zuruf von Kaspersky entfernte Google die App aus dem Play Store. Wohl nicht nur aus diesem Grunde gab man heute eine Erweiterung des Bug-Bounty-Programmes bekannt.
Wem das nichts sagt, vereinfacht gesagt: Finder von Lücken oder schädlichen Apps werden entlohnt. Bei Google heißt das konkret Google Play Security Reward Program (GPSRP), jenes wird Änderungen spendiert bekommen, des Weiteren führt man das Developer Data Protection Reward Program (DDPRP) ein.
Man erweitere den Umfang von GPSRP auf alle Apps im Google Play Store mit 100 Millionen oder mehr Installationen. Diese Apps sind jetzt für Belohnungen berechtigt, auch wenn die App-Entwickler kein eigenes Programm für das Finden von Lücken anbieten. In diesen Szenarien hilft Google dabei, identifizierte Schwachstellen an den betroffenen App-Entwickler weiterzugeben.
Wenn die Entwickler bereits über eigene Programme verfügen, können Forscher zusätzlich zu den Belohnungen von Google direkt von diesen „Belohnungen“ bekommen. Google empfiehlt App-Entwicklern, ihr eigenes Offenlegungs- oder Bug-Bounty-Programm zu starten, um direkt mit der Security-Researcher-Community zusammenzuarbeiten. Zum Developer Data Protection Reward Program (DDPRP): DDPRP ist ein Bounty-Programm, das in Zusammenarbeit mit HackerOne entwickelt wurde, um Probleme mit dem Datenmissbrauch in Android-Anwendungen, OAuth-Projekten und Chrome-Erweiterungen zu identifizieren und zu minimieren.
Das Programm zielt darauf ab, jeden zu belohnen, der nachweislich und unmissverständlich den Missbrauch von Daten nachweisen kann, in einem ähnlichen Modell wie die anderen Schwachstellen-Belohnungsprogramme von Google. Wenn ein Datenmissbrauch im Zusammenhang mit einer App oder Chrome-Erweiterung festgestellt wird, wird diese App oder Erweiterung entsprechend aus dem Google Play Store oder Google Chrome Web Store entfernt. Im Falle eines App-Entwicklers, der den Zugriff auf eingeschränkte Bereiche von Google Mail missbraucht, wird dessen API-Zugriff entfernt. Hier gibt es derzeit keine festgelegten Summen – also wie sonst üblich je nach Schweregrad – dafür gibt es aber je nach Schwere von Google bis zu 50.000 Dollar Finderlohn.
Super, darf man jetzt die Verwendung von Werbenetzwerken als Schwachstelle melden oder wie hat sich Google das vorgestellt, dass das CamScanner geholfen hätte?
In diesem Fall war ja nicht das Werbenetzwerk ansich das Problem, sondern dass darin eine Backdoor vorhanden war. Wäre das nicht der Fall gewesen, wäre es doch kein Problem gewesen.
Werbenetzwerke haben gewaltige Vorteile für die Verteilung von Trojanern:
1. Jeder nutzt sie
2. Sie werden ohne Kontrolle der Source Codes eingebaut
3. Keinen wundert es, wenn etwas runtergeladen wird
4. Keinen wundert es, wenn Zugriff auf das Dateisystem erfolgt
5. Keinen wundert es, wenn Code ausgeführt wird und die CPU belastet wird
In Einzelfällen treffen alle diese Punkte auch auf andere Third-Party-Module zu. Werbenetzwerke sind also prädestiniert für Backdoors und ist ja auch nicht das erste Mal, dass sowas passiert.
Werbenetzwerke haben gewaltige Vorteile für die Verteilung von Trojanern:
1. Jeder nutzt sie
2. Sie werden ohne Kontrolle der Source Codes eingebaut
3. Keinen wundert es, wenn etwas runtergeladen wird
4. Keinen wundert es, wenn Zugriff auf das Dateisystem erfolgt
5. Keinen wundert es, wenn Code ausgeführt wird und die CPU belastet wird
In Einzelfällen treffen alle diese Punkte auch auf andere Third-Party-Module zu. Werbenetzwerke sind also prädestiniert für Backdoors und ist ja auch nicht das erste Mal, dass sowas passiert.