/ Security / Google ruft zum Hack von Android-Apps auf – für einen guten Zweck

Google ruft zum Hack von Android-Apps auf – für einen guten Zweck

Moritz Rosenfeld on October 20, 2017 - 3:59 pm in Security

[ad_1]

Der Internetkonzern baut sein Bug-Bounty-Programm aus und will künftig auch Prämien für Lücken in eigenen Android-Apps zahlen. Das Programm ist auch für andere, ausgewählte App-Entwickler offen.

Ab sofort können Sicherheitsforscher Prämien kassieren, wenn sie Sicherheitslücken in bestimmten Android-Apps entdecken. Das Ganze nennt sich Google Play Security Reward Programm und ist eine Ergänzung zu Googles bisherigen Bug-Bounty-Angeboten. Das Ganze läuft unter der Haube der Hackerone-Plattform. Dort rufen unter anderem auch Nintendo und Spotify zur Bug-Suche auf.

Bislang können Sicherheitsforscher alle Google-Apps wie Gmail und Kalender durchleuchten. Das Programm ist aber auch für andere Entwickler offen – offensichtlich aber nur für populäre Apps. Derzeit ist unter anderem Dropbox mit an Bord. Momentan sind acht App-Entwickler dabei, weitere sollen folgen. Bisher wurde noch keine Schwachstelle über das Programm gemeldet.

Extra-Prämie

Zum Start des Programms will Google nur das Finden von Sicherheitslücken belohnen, die Angreifer zur Ausführung von Schadcode missbrauchen könnten. Das muss ab Android 4.4 funktionieren und es darf keine zweite App für einen erfolgreichen Übergriff nötig sein. Dabei müssen die Sicherheitsforscher nicht die Sandbox des Systems umgehen, erläutert Google. Pro gefundene Lücke der verlangten Art gibt es eine Belohnung von maximal 1000 US-Dollar – wenn sich der Finder an die Regeln und Meldevorschriften von Google hält.

Google betont, dass Sicherheitsforscher Schwachstellen in Dritt-Apps direkt an die jeweiligen Entwickler melden müssen. Erst wenn die Lücke geschlossen ist, hat der Forscher Anspruch auf die Prämie von Google. Hat der jeweilige Entwickler ein eigenes Bug-Bounty-Programm und zahlt Belohnungen, kriegt der Sicherheitsforscher die Prämie von Google oben drauf. (des)

[ad_2]

Read more on: Source

Comments are disabled