Bug Bounty: Google zahlt auch für Lücken "fremder" Android-Apps

So genannte Bug Bounty-Programme sind ein überaus populärer Weg, um ethisch agierende Hacker für das Aufspüren von Lücken zu belohnen. Das Finden von Schwachstellen für den guten Zweck der Sicherheit soll sich schlichtweg lohnen. Doch nicht alle können sich solche "Kopfgelder" leisten. Das ist der Grund, warum Google nun angekündigt hat, sein Bug Bounty-Programm auszudehnen, und zwar auf alle großen Apps, die man im Play Store finden kann. Dabei spielt keine Rolle, ob die Apps aus dem eigenen Hause kommen oder ob Drittentwickler dafür verantwortlich sind. Genauer gesagt sind letztere die eigentliche Zielgruppe dieses Schritts, denn hinter so manche erfolgreichen App steht ein einzelner Entwickler oder ein kleines Team.

Und deren Möglichkeiten sind vor allem finanziell oftmals stark eingeschränkt, weshalb Google diesen Teil übernehmen will. Der Konzern aus dem kalifornischen Mountain View hat das Geld und möchte sein gesamtes "Ökosystem" (Android und Play Store) verbessern. Dazu zählt vor allem Sicherheit.

Mindestens 100 Mio. Installationen

Entsprechend hat Google nun angekündigt, dass man Sicherheitsexperten für das Aufspüren von schweren Bugs und Lücken belohnen wird, unabhängig davon, wer die App entwickelt. Die Anwendung muss aber auf mindestens 100 Millionen Installationen kommen, um am erweiterten Google Play Security Reward Program (GPSRP) teilnehmen zu können.

Wie BetaNews schreibt, sollen von auf diese Weise aufgespürten Bugs nicht nur die eigentlichen Apps profitieren. Google hofft, dass man auf Basis dieser Erfahrungen auch andere ähnliche oder gleiche Schwachstellen automatisiert beseitigen kann.

Wenn die Entwickler eigene Bug Bounty-Initiativen am Laufen haben, so ist das kein Ausschlusskriterium, Google zahlt in diesem Fall seine Prämie zusätzlich. Das Unternehmen will damit sicherlich auch dem nach wie eher schlechten Image von Android in Bezug auf die Sicherheit entgegenwirken.