Sådan belønner Google sårbarheder i Android
4.000 dollars fik Joshua Drake fra it-sikkerhedsvirksomheden Zimperium af Google for at indrapportere en Stagefright 2.0-sårbarhed i Android. Det fremgår af en åben debattråd om sårbarheden hos Google.
Som så mange andre virksomheder har Google flere reward-programmer, der skal anspore at sikkerhedshuller bliver rapporteret til virksomheden, så de kan blive lukket i stedet for at blive misbrugt til at kompromittere enheder med.
Beløbet, som Joshua Drake modtager, er ikke tilfældigt. Af en hjemmeside med titlen ‘Android Security Rewards Program Rules’ kan man se, hvordan Google takserer sårbarheder i den seneste udgave af det udbredte Android-styresystem og nyere Nexus-enheder.
4.000 dollars svarende til ca. 27.500 kroner er i den høje ende.
Når Googles reward-panel tager stilling til, hvad en given sårbarhed skal belønnes med, bliver der taget udgangspunkt i alvorligheden af sårbarheden. Kategorierne moderat, høj og kritisk honoreres. I dette tilfælde er der tale om en kritisk sårbarhed.
Sårbarheder kategoriseres i fire niveauer
En anden hjemmeside viser, hvordan Google inddeler de forskellige sårbarheds-niveauer, som ligger til grund for størrelsen på den dusør, der kan blive udløst.
'Lav' vil sige, at der kan opnås et 'normalt' adgangsniveau uden tilladelse via en app installeret på enheden. Eller at det er muligt med lokal adgang at udføre et midlertidigt denial-of-service-angreb, som dog kan løses ved eksempelvis at genstarte enheden.
‘Moderat’ vil blandt andet sige, at der via en app kan opnås 'farlig' adgang til data - eksempelvis private brugerdata - eller funktionalitet, som brugeren ikke har givet tilladelse til på en enhed. Eller at der kan udføres et midlertidigt denial-of-service angreb lokalt på enheden. Det vil sige, den først kommer op igen via gendannelse til fabriksindstillinger.
‘Høj’ vil blandt andet sige, at kode kan fjernafvikles på en enhed uden særlige rettigheder. Høj dækker også over, at der lokalt (modsat via fjernadgang) kan opnås adgang til data på system/signatur-niveau eller til funktionalitet, uden at have tilladelse til dette. Høj dækker desuden over et lokalt Denial-of-Service-angreb, der enten er permanent eller først kan overkommes, når enheden bliver flashed på ny. Endeligt falder et remote-DoS-angreb også i ‘høj’ kategorien, hvis det er midlertidigt.
‘Kritisk’ er set fra et offers perspektiv selvsagt i den kedelige ende. Kategorien dækker blandt andet over fjern-eksekvering af kode med privilegerede rettigheder. Det vil sige rettigheder, som apps ikke kan opnå. Kritisk dækker også en situation, hvor enheden bliver permanent kompromitteret via lokal-adgang. Det vil sige, enheden ikke kan repareres uden at genflashe den. Endeligt dækker kritisk over permanent DoS opnået via fjernadgang.
I første omgang vurderer Google CVE-2015-6602 som værende moderat. Men da Joshua Drake efterfølgende poster en mp3-fil, der eksemplificerer sårbarheden, ophøjer Google alvorligheden af sårbarheden til kritisk, fremgår det af tråden.
Ikke noget til 'lav'
Typisk bliver moderate sårbarheder ifølge Googles hjemmeside belønnet med 500 dollars, ‘høj’-sårbarheder med 1.000 dollars og kritiske sårbarheder med 2.000 dollars. 'Lav' får normalt ikke noget, der kan dog være undtagelser.
Derudover er der en række faktorer, der kan udløse højere dusører. Hvis der med den rapporterede sårbarhed følger en patch - det leverede Drake - kan det eksempelvis give 4.000 dollars.
Og er der tale om en sårbarhed eller kæde af sårbarheder, der i sidste ende leder til kompromittering af Android-kernen, kan det give yderligere titusindvis af dollars. Ligesom en sårbarhed, der kan kompromittere det, der hedder Verified Boot - en funktionalitet der skal forhindre rootkit-lignende funktionalitet på enheden - skæpper yderligere i kassen hos anmelderen.
Blandt andet må informationerne om sårbarheden - typisk - ikke være offentliggjorte, og kun den første anmeldelse af en konkret sårbarhed modtager en dusør.
Desuden er der en række sårbarheder, der normalt ikke udløser en dusør. Eksempelvis bugs der blot får en app til at crashe.
Under en Q&A på hjemmesiden med dusør-raterne fremgår det også, at Google - ikke overraskende - gerne vil have det, virksomheden kalder rimelig tid til at fikse sårbarheder, inden de bliver offentliggjort.
I den forbindelse nævner Google 90 dage som en rimelige tidshorisont. Det er samme tidshorisont, som Googles eget sikkerhedshold Project Zero giver virksomheder, herunder Google, til at fikse de sårbarheder, teamet finder frem til.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
