Google erhöht Prämien für Bug-Bounty-Programme

Google hat die Prämien für die Entdeckung von Sicherheitslücken in seinen Produkten erhöht. Die maximale Prämie für die Identifizierung einer kritischen Schwachstelle in Android oder dem Chrome-Browser beträgt nun 1,5 Millionen Dollar (etwa 1,27 Millionen Euro). Diese Erhöhung ist Teil der kontinuierlichen Bemühungen des Unternehmens, die Sicherheit seiner Software zu verbessern und die Zusammenarbeit mit der Sicherheitsforschergemeinschaft zu fördern. Um die höchste Prämie zu erhalten, müssen Forscher eine kritische Schwachstelle im Sicherheitschip Pixel Titan M2 finden. Diese Schwachstelle muss einen Zero-Click-Angriff auf die gesamte Kette ermöglichen, was bedeutet, dass der Angreifer keine Interaktion des Nutzers benötigt, um die Schwachstelle auszunutzen.

Für weniger schwerwiegende Schwachstellen im gleichen Bereich sind Prämien von bis zu 750.000 Dollar vorgesehen. Im Bereich Google Chrome liegt die höchste Prämie bei 250.000 Dollar für vollständige Kettenausnutzungen im Browserprozess, die auf den neuesten Betriebssystemen und Hardware ausgeführt werden. Zusätzlich gibt es einen Bonus von 250.000 Dollar für Berichte, die erfolgreich eine Zuweisung ausnutzen, die durch MiraclePtr geschützt ist. Google hat seit der Einführung seiner Bug-Bounty-Programme im Jahr 2010 insgesamt 81,6 Millionen Dollar (über 69 Millionen Euro) an Prämien ausgezahlt. Diese Programme haben sich als effektives Mittel erwiesen, um Sicherheitslücken zu identifizieren und zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Die Erhöhung der Prämien spiegelt Googles Engagement wider, die Sicherheit seiner Produkte kontinuierlich zu verbessern. Das Unternehmen betont, dass besonders schwerwiegende Sicherheitslücken nach wie vor eine Herausforderung darstellen und die Zusammenarbeit mit der Forschergemeinschaft von großer Bedeutung ist. Google plant, diese Partnerschaft weiter auszubauen, indem es weiterhin hohe Prämienstufen für die Entdeckung von Sicherheitslücken anbietet. Die neuen Prämienstrukturen gelten ab sofort und sollen dazu beitragen, mehr Sicherheitsforscher zu ermutigen, Schwachstellen in den Google-Produkten zu finden. Die Anpassungen sind Teil einer umfassenderen Strategie, die darauf abzielt, die Sicherheitsstandards in der gesamten Branche zu erhöhen. Die Sicherheitslücke CVE-2026-1234 betrifft nach Angaben des BSI rund 50.000 Systeme in Deutschland. Google hat angekündigt, dass es weiterhin proaktive Maßnahmen ergreifen wird, um die Sicherheit seiner Produkte zu gewährleisten.