Android: Google will nicht mehr für Sicherheitslücken in fremden Apps bezahlen – Bug Bounty wird eingestellt
Google betreibt seit vielen Jahren Bug Bounty-Programme, die alle großen Plattformen abdecken und Hobbyforscher Prämien für entdeckte Sicherheitslücken bezahlen. Diese Programms sind in jeglicher Hinsicht sehr erfolgreich und sorgen für steigende Sicherheit innerhalb der Produkte und Plattformen. Jetzt hat Google allerdings das schnelle Aus des erweiterten Android-Programms angekündigt.
Bug Bounty ist ein gutes Geschäft für beide Seiten: Entdecken Hobby-Sicherheitsforscher eine schwere Lücke in den Google-Produkten, können sie diese an das Unternehmen melden und erhalten dafür eine Prämie im vier- bis sechsstelligen Bereich. Je nach Schwere kann man sich so mit nur einer Entdeckung eines oder gar mehrere Jahresgehälter erarbeiten. Es lohnt sich daher, bei entsprechenden Kenntnissen viel Arbeit hereinzustecken. Google wiederum profitiert davon, solche Lücken schließen zu können, bevor sie ausgenutzt oder an „böse Buben“ verkauft werden. Außerdem muss man selbst nur weniger Ressourcen dafür aufbringen, und der PR-Wert der sicheren Plattformen ist die Ausgaben allemal wert.
Seit 2019 hatte Google ein erweitertes Android-Programm betrieben, das nun zu einem Ende kommen wird: Man hat auch hohe Prämien für Lücken in Android-Apps ausgelobt, die gar nicht von Google entwickelt werden. Allerdings nur Apps mit einer Installationsbasis von 100 Millionen Nutzer. Also die wirklich großen Apps, die einen bedeutenden Anteil daran haben können, wie sicher das gesamte Android-Ökosystem ist. Daher ergibt es für Google durchaus Sinn, für Sicherheitslücken fremder Apps zu bezahlen.
Natürlich könnte man auch argumentieren, dass die Unternehmen hinter Apps mit weit mehr als 100 Millionen selbst Budget für solche Aufgaben haben sollten. Und genauso scheint man das bei Google auch zu sehen, denn das Programm wird bis Ende August geschlossen. Alle Einreichungen, die bis zum 31. August 2024 einlangen, werden noch bearbeitet. Diese sollten allesamt bis 30. September abgearbeitet sein.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter