digitale Themen, leicht verständlich.

Bug-Bounty

Schwachstellen in Play-Store-Apps finden und 1000 Dollar verdienen

Geschätzte Lesezeit: ca. 2 Minuten

Foto von Michael Springer

von Michael Springer -

Der Play Store, die zentrale Anlaufstelle für Apps in Googles Smartphone-Betriebssystem Android, hat immer wieder Probleme mit Malware, Fake-Apps und Löchern in der Sicherheit. Mit einem Belohnungsprogramm will Google nun Freiwillige vergüten, die Schwachstellen in beliebten Apps entdecken.

Gemeinsam mit der Entwickler- und Bug-Bounty-Plattform 'HackerOne' hat Google die 'Google Play Security Rewards' ins Leben gerufen. Das Ziel des Projektes ist es, die grundlegende App-Sicherheit im gesamten Play Store zu erhöhen – profitieren sollen davon alle: Die Entwickler, die Android-User, das gesamte Android-Ökosystem.

Google zahlt 1000 Dollar für Sicherheitslücken in Android-Apps

Das Prozedere ist denkbar einfach gehalten. Freiwillige können aufgespürte Schwachstellen direkt an die teilnehmenden App-Hersteller weiterleiten. Dabei geht es Google besonders um Lücken, die es Angreifern erlauben, einen beliebigen Code aus der Entfernung auszuführen, also ohne Zustimmung oder Wissen des Users. Auch Phishing-Attacken sollen vermehrt ins Visier genommen werden – die genauen Vorgaben finden sich bei HackerOne.

Through the program, we will further improve app security which will benefit developers, Android users, and the entire Google Play ecosystem.

Google Play Security Rewards

Ist eine Lücke gefunden, sollen Entdecker und Entwickler gemeinsam daran arbeiten, diese innerhalb von 90 Tagen zu schließen. Gelingt das, wird der Vorgang von Google und dem Sicherheitsteam des Play Stores noch einmal abschließend überprüft. Entspricht alles den Vorgaben, bekommt der Bug-Finder von Google 1000 Dollar gutgeschrieben.

Für das US-Unternehmen ist das kein Neuland: Google setzt auch bei Chrome, ChromeOS und weiteren Produkten auf ähnliche Bug-Bounty-Programme. Um das neue Verfahren grundsätzlich zu testen und erste Daten zu sammeln, beschränkt Google die Reichweite des Unterfangens momentan allerdings noch auf einige ausgewählte Apps. Neben Alibaba, Dropbox, Snapchat und Tinder sind zum Start noch Duolingo, Headspace, Line und Mail.ru an Bord - allesamt App-Schwergewichte mit globaler Reichweite.

Grundsätzlich ist der Ansatz zu begrüßen.

Macht Google es sich einfach?

Anwender profitieren, weil schwerwiegende Lücken geschlossen werden. Entwickler-Studios bekommen Hilfe von außen und werden auf Bugs aufmerksam, die ihnen bis dato entgangen waren. Freiwillige weltweit können mit ihrem Know-how zu besseren Produkten beitragen und gleichzeitig ein wenig Geld verdienen. Kritische Stimmen im Netz drehen diesen Aspekt allerdings um: Google bezahle den Bug-Findern ein verhältnismäßig winziges Sümmchen, anstatt das Ganze – wesentlich kostspieliger – intern zu lösen.

Nur: Niemand wird gezwungen, sich an der Bug-Jagd zu beteiligen und die Belohnung einzustreichen. Außerdem lassen sich mit dem dezentralen Ansatz mehr Schwachstellen finden als mit kleinen, geschlossenen Entwicklerteams – ein grundsätzlicher Vorteil offener Quellcodes. Und kaum ein Unternehmen wird freiwillig mehr für eine Leistung zahlen, die es offensichtlich auch günstiger bekommen kann.

Hier erfährst du mehr über: AndroidGoogle und Sicherheit

Sag uns deine Meinung!