Google - 112.500 US-Dollar als Belohnung für Sicherheitsforscher

Google hat 112.500 US-Dollar an einen Sicherheitsforscher ausgezahlt. (Bildquelle: Android)

Seit dem Jahr 2015 belohnt Google Sicherheitsexperten, die in Android Schwachstellen finden und melden. Dabei gilt das Prinzip, dass die sogenannte Bug Bounty umso höher ausfällt, desto gefährlicher die Sicherheitslücke ist. Außerdem muss die Meldung sich auf die neueste Version von Android beziehen, die Google selbst bei seiner Hardware wie beispielsweise den Pixel-Smartphones einsetzt.

Im Juni 2017 hatte Google dann die Geldpreise erhöht und damit für die Forscher interessanter gemacht, denn in zwei Jahren hatte niemand den höchsten Preis für die Ausnutzung von mehreren Sicherheitslücken hintereinander (Exploit Chain) angefordert.

Zwei Lücken, ein gefährlicher Angriff

Das hat sich nun geändert, denn der chinesische Experte Guang Gong hatte im August 2017 zwei Sicherheitslücken gemeldet. Eine erlaubt es, über speziell manipulierten HTML-Code in der Sandbox von Google Chrome beliebigen Code auszuführen, die andere erlaubt den Ausbruch aus der Sandbox und den Zugriff auf das System.

Durch die Ausnutzung beider Schwachstellen zusammen war des also möglich, auf die System-Prozesse eines Pixel-Smartphones zuzugreifen und darüber beliebigen Code auszuführen. Besonders gefährlich waren diese Lücken auch, weil für einen Angriff schon der Aufruf einer manipulierten Webadresse ausreichte.

112.500 US-Dollar aus zwei Programmen von Google

Gong hat nun von Google 105.000 US-Dollar für den Android-Angriff erhalten und dazu weitere 7.500 Dollar von einem ähnlichen Programm zu Google Chrome. Behoben wurden die Sicherheitslücken schon im Dezember 2017 durch ein Sicherheitsupdate von Google.

Die Details dazu hat Google erst nach der Behebung der Probleme nun bekanntgemacht. Genauere Informationen zu den gefundenen Sicherheitslücken gibt es nun in einem Beitrag im offiziellen Security-Blog von Google.