Android: Alle Apps ab 100 Mio. Downloads werden ins Bug-Bounty-Programm aufgenommen

Vorgestern wurde bekannt, dass eine App mit mehr als 100 Millionen Installationen im Play Store von Google ein schädliches Update bekam und so Malware mitbrachte. Auf Zuruf von Kaspersky entfernte Google die App aus dem Play Store. Wohl nicht nur aus diesem Grunde gab man heute eine Erweiterung des Bug-Bounty-Programmes bekannt.

Wem das nichts sagt, vereinfacht gesagt: Finder von Lücken oder schädlichen Apps werden entlohnt. Bei Google heißt das konkret Google Play Security Reward Program (GPSRP), jenes wird Änderungen spendiert bekommen, des Weiteren führt man das Developer Data Protection Reward Program (DDPRP) ein.

Man erweitere den Umfang von GPSRP auf alle Apps im Google Play Store mit 100 Millionen oder mehr Installationen. Diese Apps sind jetzt für Belohnungen berechtigt, auch wenn die App-Entwickler kein eigenes Programm für das Finden von Lücken anbieten. In diesen Szenarien hilft Google dabei, identifizierte Schwachstellen an den betroffenen App-Entwickler weiterzugeben.

Wenn die Entwickler bereits über eigene Programme verfügen, können Forscher zusätzlich zu den Belohnungen von Google direkt von diesen „Belohnungen“ bekommen. Google empfiehlt App-Entwicklern, ihr eigenes Offenlegungs- oder Bug-Bounty-Programm zu starten, um direkt mit der Security-Researcher-Community zusammenzuarbeiten. Zum Developer Data Protection Reward Program (DDPRP): DDPRP ist ein Bounty-Programm, das in Zusammenarbeit mit HackerOne entwickelt wurde, um Probleme mit dem Datenmissbrauch in Android-Anwendungen, OAuth-Projekten und Chrome-Erweiterungen zu identifizieren und zu minimieren.

Das Programm zielt darauf ab, jeden zu belohnen, der nachweislich und unmissverständlich den Missbrauch von Daten nachweisen kann, in einem ähnlichen Modell wie die anderen Schwachstellen-Belohnungsprogramme von Google. Wenn ein Datenmissbrauch im Zusammenhang mit einer App oder Chrome-Erweiterung festgestellt wird, wird diese App oder Erweiterung entsprechend aus dem Google Play Store oder Google Chrome Web Store entfernt. Im Falle eines App-Entwicklers, der den Zugriff auf eingeschränkte Bereiche von Google Mail missbraucht, wird dessen API-Zugriff entfernt. Hier gibt es derzeit keine festgelegten Summen – also wie sonst üblich je nach Schweregrad – dafür gibt es aber je nach Schwere von Google bis zu 50.000 Dollar Finderlohn.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Super, darf man jetzt die Verwendung von Werbenetzwerken als Schwachstelle melden oder wie hat sich Google das vorgestellt, dass das CamScanner geholfen hätte?

    • In diesem Fall war ja nicht das Werbenetzwerk ansich das Problem, sondern dass darin eine Backdoor vorhanden war. Wäre das nicht der Fall gewesen, wäre es doch kein Problem gewesen.

      • Werbenetzwerke haben gewaltige Vorteile für die Verteilung von Trojanern:
        1. Jeder nutzt sie
        2. Sie werden ohne Kontrolle der Source Codes eingebaut
        3. Keinen wundert es, wenn etwas runtergeladen wird
        4. Keinen wundert es, wenn Zugriff auf das Dateisystem erfolgt
        5. Keinen wundert es, wenn Code ausgeführt wird und die CPU belastet wird

        In Einzelfällen treffen alle diese Punkte auch auf andere Third-Party-Module zu. Werbenetzwerke sind also prädestiniert für Backdoors und ist ja auch nicht das erste Mal, dass sowas passiert.

  2. Werbenetzwerke haben gewaltige Vorteile für die Verteilung von Trojanern:
    1. Jeder nutzt sie
    2. Sie werden ohne Kontrolle der Source Codes eingebaut
    3. Keinen wundert es, wenn etwas runtergeladen wird
    4. Keinen wundert es, wenn Zugriff auf das Dateisystem erfolgt
    5. Keinen wundert es, wenn Code ausgeführt wird und die CPU belastet wird

    In Einzelfällen treffen alle diese Punkte auch auf andere Third-Party-Module zu. Werbenetzwerke sind also prädestiniert für Backdoors und ist ja auch nicht das erste Mal, dass sowas passiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.