Mobile Security
11.09.2017, 10:02 Uhr
Samsung startet Bug-Bounty-Programm
Samsung startet das "Mobile Security Reward"-Programm. Findet ein Nutzer eine Sicherheitslücke im aktuellen Betriebssystem, bieten die Koreaner dem Melder bis zu 200.000 US-Dollar Belohnung.
Samsung startet ein Bug-Bounty-Programm für seine mobilen Geräte. Das Projekt nennt Samsung "Mobile Security Rewards" und bietet dabei Nutzern für die Entdeckung und Meldung eine Sicherheitslücke bis zu 200.000 US-Dollar Belohnung an.
Damit schlagen die Koreaner gleich zwei Fliegen mit einer Klappe: Einerseits verringern sich so die Kosten für eigene Sicherheitsforscher, obgleich eine solche Abteilung dennoch nicht obsolet wird. Andererseits verringert sich durch das Programm der Anreiz, gefundene Sicherheitslücken im Darknet zu handeln.
Konkret bietet Samsung das Programm für die Serien Galaxy S, Galaxy Note, Galaxy A, Galaxy J sowie Galaxy Tab an. Eine detaillierte Liste aller unterstützten Geräte und der geltenden Teilnahmekonditionen stellt Samsung auf einer eigens für das Programm bereitgestellten Webseite zur Verfügung.
Belohnt werden Finder von Sicherheitslücken in Samsung Mobile Services (inklusive Bixby), Samsung Account, Samsung Pay, Samsung Pass und weiteren Software-Lösungen der Koreaner. Darüber hinaus werden gefundene Bugs in Drittanbieter-Software honoriert, insofern diese spezifisch auf Samsung-Geräten Probleme verursachen.
Je kritischer die Lücke, desto höher die Belohnung
Je höher das Risiko des gefundenen Bugs eingestuft wird, desto höher ist auch die ausgezahlte Belohnung dafür. Wird derselbe Fehler von gleich mehreren Nutzern gemeldet, bekommt nur der schnellste das Geld. Voraussetzung für eine Auszahlung ist, dass es sich um einen aktuellen beziehungsweise aktiv ansteuerbaren Fehler handelt. Zudem muss das Gerät, mit dem die Sicherheitslücke festgestellt wurde, die aktuellste Version des Betriebssystems besitzen.
Außerdem ausschlaggebend für die Höhe des Rewards ist die Art und Weise respektive Qualität des Reports. Um einen Fehler zu melden, muss der Nutzer lediglich die entsprechende Webseite der Koreaner aufrufen und "Create Report" auswählen.
Ähnliche Programme bieten auch Unternehmen wie Microsoft und Google an, die Hackern ebenfalls Geld dafür bieten, wenn Sicherheitslücken direkt an die Unternehmen gemeldet werden.