Google betreibt eine Reihe von Bug Bounty-Programmen, in deren Rahmen das Unternehmen Entwicklern und Hackern eine Prämie für das Entdecken und Melden von Sicherheitslücken in Google-Produkten auszahlt. Diese Programme haben in jeder Hinsicht einen sehr großen Erfolg und werden regelmäßig erweitert – jetzt gibt es den nächsten großen Schritt. Ab sofort zahlt Google auch für entdeckte Sicherheitslücken in populären Android-Apps anderer Hersteller.
Bug Bounty klingt für alle Seiten verlockend und ist eine Win-Win-Win-Situation für alle Beteiligten. Der Hacker enthält für eine Entdeckung vergleichsweise sehr viel Geld, für Google hingegen ist die Summe vergleichsweise klein und man verhindert das aktive Ausnutzen einer solchen Sicherheitslücke. Der Endnutzer hat mit dem Ganzen nichts zu tun, profitiert aber von sicheren Apps und Plattformen. Kein Wunder, dass viele große Unternehmen mittlerweile solche Programme betreiben.
Google hat nun angekündigt, dass das Programm unter Android erweitert wird – und zwar um externe Apps: Alle Apps mit mehr als 100 Millionen Installationen sind nun mit eingeschlossen. Entdeckt ein Hacker eine Sicherheitslücke in einer Dritt-App, wird Google diesen dafür entlohnen und mit dem Entwickler der App zusammenarbeiten, um diesen Fehler zu beheben. Betreibt das Unternehmen hinter der Dritt-App ebenfalls ein Bug Bounty-Programm, kann der Entdecker doppelt verdienen – es muss nur an beide Unternehmen gemeldet werden.
Google verspricht davon mehr Sicherheit für die populärsten Android-Apps und möchte gleichzeitig die automatisierten Scanner nach Sicherheitslücken verbessern. Ob die großen Entwickler davon begeistert sind, bzw. ob sie vorab informiert wurden, sei mal dahin gestellt. Mutmaßlich hat Google damit eine Einladung ausgesprochen, Apps zu hacken und verschafft den App-Entwicklern somit auch mehr Aufwand. Sicherheit sollte natürlich an erster Stelle stehen, dennoch ist es ein externer Einfluss, über den nicht jedes Unternehmen glücklich sein dürfte.
Interessant wird das vor allem bei Schwergewichten wie etwa Facebook, die wohl kaum ein Interesse daran haben, jede Sicherheitslücke (die in solch großen Projekten zahlreich vorhanden sind) gemeinsam mit Google auseinanderzunehmen und zu beheben.
» Ankündigung im Android Developers Blog
Siehe auch
» Google und Facebook dürfen 400 Millionen Dollar-Kabel zwischen USA & China womöglich nicht in Betrieb nehmen