Gute Nachricht für alle Sicherheitsforscher: Google hat das Prämienprogramm für gemeldete Sicherheitslücken deutlich aufgestockt. Google hat die Belohnungen, die Sicherheitsforscher erhalten, welche Details zu Schwachstellen im Browser Chrome oder im Betriebssystem Chrome OS vertraulich melden, verdoppelt bzw. sogar verdreifacht.
Die neuen Prämien
Die maximale Basisprämie steigt von 5.000 auf 15.000 Dollar und der Maximalbetrag für besonders hochwertige Anfälligkeiten und Fehlerberichte verdoppelt sich von 15.000 auf 30.000 Dollar.
Das Chrome Vulnerability Rewards Program existiert schon seit dem Jahr 2010. Seitdem erhielt Google nach Angaben des Chrome Security Teams über 8.500 Berichte von teilnehmenden Sicherheitsforschern. Dafür schüttete Google in dieser Zeit mehr als fünf Millionen Dollar als Prämien aus.
Doppelte Prämien auch für das Fuzzer-Programm
Seither wurde das Programm laufend erweitert, unter anderem um das Chrome Fuzzer Program, bei dem die sogenannten Fuzzer benutzt werden, um automatisiert nach eventuellen Sicherheitslücken zu suchen. Gefundene Bugs dieser Art wurden bisher mit je 500 Dollar bezahlt und bringen in Zukunft 1.000 Dollar.
Was macht Anfälligkeiten hochwertig?
Außerdem kündigte Google jetzt neue Fehlerkategorien an und überarbeitete die Kriterien, die gefundene Anfälligkeiten als hochwertig klassifizieren.
Das sind Fehler, die „leicht, aktiv und zuverlässig gegen unsere Nutzer eingesetzt werden können“. Die dazugehörigen Fehlerberichte sollen außerdem erläutern, dass eine Ausnutzung des gefundenen Bugs hochwahrscheinlich ist. Google erwartet auch Vorschläge für einen Patch dagegen.
Funktionierende Exploits bringen 150.000 Dollar
Neue Fehlerkategorien sind Firmware und Lock Screen Bypass für das Betriebssystem Chrome OS. Wer eine Exploit-Kette für Chrome OS entwickelt, mit der ein Chromebook oder eine Chromebox im Gastmodus dauerhaft kompromittiert werden kann, darf ab sofort mit einer Belohnung von satten 150.000 Dollar rechnen – bisher gab es dafür nur 100.000 Dollar.
Auch Fehler im Play Store bringen jetzt mehr
Selbst die Arbeit für das Google Play Security Reward Program, mit dem Google die Sicherheit von Apps im Play Store verbessern wird, ist jetzt deutlich lukrativer. Google zahlt nun beispielsweise statt 5.000 Dollar bis zu 20.000 Dollar für Beispielcode, der das Einschleusen und Ausführen von nativem ARM-Code ohne irgendeine Interaktion mit einem Nutzer auf dessen Gerät möglich macht.
Für Fehler, die den Diebstahl von persönlichen Daten gestatten oder den Zugang zu geschützten App-Komponenten erlauben, gibt es eine Prämie von 3000 Dollar.