Seit dem Jahr 2015 belohnt Google Sicherheitsexperten, die in Android Schwachstellen finden und melden. Dabei gilt das Prinzip, dass die sogenannte Bug Bounty umso höher ausfällt, desto gefährlicher die Sicherheitslücke ist. Außerdem muss die Meldung sich auf die neueste Version von Android beziehen, die Google selbst bei seiner Hardware wie beispielsweise den Pixel-Smartphones einsetzt.
Im Juni 2017 hatte Google dann die Geldpreise erhöht und damit für die Forscher interessanter gemacht, denn in zwei Jahren hatte niemand den höchsten Preis für die Ausnutzung von mehreren Sicherheitslücken hintereinander (Exploit Chain) angefordert.
Zwei Lücken, ein gefährlicher Angriff
Das hat sich nun geändert, denn der chinesische Experte Guang Gong hatte im August 2017 zwei Sicherheitslücken gemeldet. Eine erlaubt es, über speziell manipulierten HTML-Code in der Sandbox von Google Chrome beliebigen Code auszuführen, die andere erlaubt den Ausbruch aus der Sandbox und den Zugriff auf das System.
Durch die Ausnutzung beider Schwachstellen zusammen war des also möglich, auf die System-Prozesse eines Pixel-Smartphones zuzugreifen und darüber beliebigen Code auszuführen. Besonders gefährlich waren diese Lücken auch, weil für einen Angriff schon der Aufruf einer manipulierten Webadresse ausreichte.
112.500 US-Dollar aus zwei Programmen von Google
Gong hat nun von Google 105.000 US-Dollar für den Android-Angriff erhalten und dazu weitere 7.500 Dollar von einem ähnlichen Programm zu Google Chrome. Behoben wurden die Sicherheitslücken schon im Dezember 2017 durch ein Sicherheitsupdate von Google.
Die Details dazu hat Google erst nach der Behebung der Probleme nun bekanntgemacht. Genauere Informationen zu den gefundenen Sicherheitslücken gibt es nun in einem Beitrag im offiziellen Security-Blog von Google.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.