Bug-Bounty-Programm von Apple, Facebook, Google und OnePlus

Ein Bug-Bounty-Programm ist ein Angebot vieler besonders prominenter Websites, Organisationen und Softwareentwickler, bei dem Einzelpersonen Anerkennung und vor allem beträchtliche Entschädigungen für die Meldung von Fehlern, insbesondere von Exploits und Sicherheitsanfälligkeiten, erhalten können. Zu den Giganten, die dieses Programm anbieten, gehören Apple, Facebook, Google und OnePlus.

Bug-Bounty-Programm

Apple

Im Jahr 2016 wurde das von Apple angebotene Bug-Bounty-Programm auf iOS beschränkt und war nur auf Einladung verfügbar. Apple hat nun sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet und bietet Belohnungen von 1 Million US-Dollar oder mehr an. Das Programm ist öffentlich zugänglich, und Apple hat angekündigt, dass iCloud, iPadOS, macOS, tvOS und watchOS auf der Liste der Bug-Bountys stehen.

Die lukrativen Belohnungen erfordern auch eine gründliche und detaillierte Beschreibung des Problems von Seiten des Forschers sowie genügend Details, um es Apple zu ermöglichen, es zu reproduzieren. Die Auszahlungen werden durch die entdeckten Fehler auf verschiedenen Ebenen bestimmt, wobei die in mehreren Apple-Plattformen gefundenen, insbesondere wenn das Problem die neuesten Apple-Geräte und -Software betrifft, zu den höchsten Auszahlungen gehören.

Fehler, die in der Beta-Version einer Software gefunden werden, gewähren dem Forscher einen Bonus von 50 Prozent zusätzlich zum Standardbelohnungspreis. Weitere potenzielle Auszahlungen sind für das Umgehen von Sperrbildschirmen, das Extrahieren von Daten aus gesperrten Geräten und unbefugten iCloud-Zugriff. Die höchste Auszahlung erhalten Forscher, die in der Lage sind, das gesamte Gerät ohne Interaktion des Benutzers zu übernehmen.

Obwohl Apples Bug-Bounty-Programm etwas veraltet ist, gehört es immer noch zu den lukrativsten Bug-Bounty-Programmen, selbst nach den zahlreichen neuen Programmen, die mehrere Technologiegiganten von Anfang an für die Öffentlichkeit geöffnet haben.

Hier Überprüfen

Facebook

Facebook ist für seine Datenschutzrichtlinien sehr berüchtigt, und so war es oft in den Nachrichten. Daher war das Bug-Bounty-Programm sehr gerechtfertigt und wurde 2011 ins Leben gerufen. Jeder kann einen Bericht senden und eine Belohnung für die Unterstützung bei der Sicherung der Systeme eines Unternehmens erhalten.

Das von Facebook angebotene Bounty-Programm gehört zu den ältesten und ausgereiftesten in der Branche und hat insgesamt etwa 8 Millionen US-Dollar an Auszahlungen erreicht. Datenmissbrauch ist ein großes Anliegen für Facebook, und selbst die Drittentwickler, die mit Facebook verbunden sind, werden diesbezüglich überprüft, sodass die Forscher dies melden und entsprechend belohnt werden können.

Hier Überprüfen

Google

Das Bug-Bounty-Belohnungsprogramm von Google für Android wurde 2015 eingeführt und belohnt die Forscher, die Sicherheitsprobleme finden und melden, um das Android-Ökosystem sicher zu halten. Dieses Programm deckt Sicherheitsanfälligkeiten ab, die in den Pixel-Geräten sowie in den neuesten Android-Versionen entdeckt werden.

Die lukrativste Belohnung, die im Rahmen dieses Programms angeboten wird, beträgt 1 Million US-Dollar und betrifft Googles Titan M-Chip, aber die Belohnung wurde bisher nicht beansprucht, da die Verteilung des Bountys einen Ermessensaspekt und bestimmte Bedingungen hat. Einige der Faktoren, die das Bounty betreffen, zusätzlich zum Ermessen des Ausschusses vor Ort, sind:

• Eine detaillierte Beschreibung, wie der Exploit funktioniert.
• Der ursprüngliche Angriffsvektor (d.h. Remote-Exploitation versus lokal).
• Ob der Exploit gerätespezifisch oder build-spezifisch ist oder ob er über eine breite Palette von Builds und Geräten funktioniert.
• Die Menge an Benutzerinteraktion, die erforderlich ist, damit der Exploit funktioniert.
• Ob der Benutzer realistisch erkennen könnte, dass ein Exploit im Gange ist oder abgeschlossen ist.
• Wie zuverlässig der Exploit ist.
• Exploit-Ketten, die in bestimmten Entwickler-Vorabversionen von Android gefunden werden, sind für bis zu 50 Prozent zusätzliche Belohnung berechtigt.

Google hat in der Cyber-Sicherheitsbranche Wellen geschlagen, da es allein im Jahr 2019 über 1,5 Millionen US-Dollar in Bug-Bountys ausgezahlt hat, wobei die höchste Auszahlung 161.337 US-Dollar betrug.

Hier Überprüfen

OnePlus

OnePlus hat zwei verschiedene Bug-Bounty-Programme, die beträchtliche Auszahlungen bieten, das erste ist das OnePlus Security Response Center, das zwischen 50 und 7.000 US-Dollar für die Sicherheitsfehler zahlt, die die Forscher innerhalb von Oxygen OS finden können. Das Bounty steht jedem offen, alles, was Sie tun müssen, ist, den OnePlus-Bug zu entdecken und dann ein Online-Formular einzureichen, in dem das Problem zusammen mit einem Proof-of-Concept beschrieben wird, und der Fehlerbericht sollte nicht plagiiert sein.

Das zweite Bounty-Programm wird in Partnerschaft mit einer Sicherheitsplattform namens HackerOne durchgeführt. Dabei werden nur ausgewählte HackerOne-Forscher OnePlus-Produkte in einer privaten Umgebung auf potenzielle Sicherheitsbedrohungen testen. Es wird jedoch gesagt, dass das Programm 2020 für die Öffentlichkeit geöffnet wird.

OnePlus hat den Ruf, eine mehr oder weniger sichere und fehlerfreie Erfahrung zu bieten, aber im Licht des Scheiterns bei den Rollouts von Android 10 auf OnePlus-Geräten ist das Bug-Bounty-Programm sehr hilfreich.

Neben diesen Giganten haben viele andere Technologieunternehmen in letzter Zeit Bug-Bounty-Programme ins Leben gerufen, da die Sicherheitsbedenken auf einem Rekordhoch sind, was sicherstellt, dass Menschen für das Überlisten der Schwachstellen entschädigt werden, während die Sicherheit der von diesen Technologieunternehmen hergestellten Systeme gewahrt bleibt.

Hier Überprüfen