Google zahlt bis zu 1,5 Millionen Dollar für Android-Exploits

Zusammenfassung

Google hat seine Vulnerability-Rewards-Programme für Android und Chrome neu zugeschnitten. Künftig zahlt das Unternehmen bis zu 1,5 Millionen US-Dollar für die technisch anspruchsvollsten Exploits, während es die Prämien für solche Schwachstellen kürzt, die sich durch künstliche Intelligenz (KI) inzwischen leichter aufspüren lassen. Die Höchstsumme von 1,5 Millionen Dollar ist Zero-Click-Full-Chain-Exploits gegen den Sicherheitschip Pixel Titan M2 vorbehalten, die zusätzlich Persistenz erreichen — laut Google das technisch anspruchsvollste Angriffsszenario im Programm. Dieselben Exploits ohne Persistenz sind weiterhin mit bis zu 750.000 Dollar dotiert. Auf der Chrome-Seite bringen Full-Chain-Exploits des Browser-Prozesses auf aktuellen Betriebssystemen und aktueller Hardware nun bis zu 250.000 Dollar ein, ergänzt um einen Bonus von 250.128 Dollar für das erfolgreiche Ausnutzen von Speicherbereichen, die durch MiraclePtr geschützt sind. Hintergrund der Umstellung ist auch der Einfluss von KI: Während sich umfangreiche, detaillierte Schwachstellenberichte heute mühelos automatisch erzeugen lassen, verlagert Google den Fokus auf die schwer zu erreichenden Exploit-Klassen und auf knappe, belastbare Nachweise. Die Neuordnung folgt auf ein Rekordjahr des Bug-Bounty-Programms.

Mit der Neuausrichtung setzt Google klare Prioritäten an der Spitze der Prämienstaffel. Den Höchstbetrag von 1,5 Millionen Dollar gibt es ausschließlich für Zero-Click-Full-Chain-Exploits gegen den Sicherheitschip Pixel Titan M2, die zusätzlich dauerhaft im System verankert bleiben (Persistenz). Verzichten Forscher auf den Persistenz-Teil, bleiben bis zu 750.000 Dollar möglich.

Für Chrome zahlt Google für Full-Chain-Exploits des Browser-Prozesses auf aktuellen Betriebssystemen und aktueller Hardware bis zu 250.000 Dollar. Hinzu kommt ein Bonus von 250.128 Dollar, wenn dabei durch MiraclePtr geschützte Speicherzuweisungen erfolgreich ausgenutzt werden.

„Wir wissen, dass bestimmte besonders wirkungsvolle Exploits weiterhin unglaublich schwer zu erreichen sind, und wir schätzen die Zusammenarbeit mit der Forschergemeinschaft sehr, um sie aufzuspüren", erklärte Google. Man wolle diese Partnerschaft ausbauen und die höchsten Prämienstufen bei Android wie bei Chrome stärker in den Vordergrund rücken.

Beim Chrome-Programm verlagert Google den Schwerpunkt auf knappe Meldungen, die nur den Nachweis des Fehlers und die wesentlichen Belege enthalten — statt langer schriftlicher Analysen, die KI inzwischen automatisch erzeugen kann. Das Android-Programm wiederum konzentriert sich künftig auf Schwachstellen im Linux-Kernel innerhalb von Komponenten, die Google selbst pflegt, sofern Forscher nicht eine konkrete Ausnutzbarkeit auf Android-Geräten nachweisen können.

„Während KI es mühelos gemacht hat, lange, detaillierte Berichte zu erstellen, hat sich auch unser internes Werkzeug weiterentwickelt, um Fehler automatisch zu erklären und Korrekturen vorzuschlagen", ergänzte das Unternehmen.

Die Umstrukturierung folgt auf ein Rekordjahr: 2025 zahlte Google 17,1 Millionen Dollar an 747 Forscher aus — ein Plus von mehr als 40 Prozent gegenüber 2024 und ein Allzeithoch. Damit summieren sich die Auszahlungen seit dem Start des Programms 2010 auf mehr als 81,6 Millionen Dollar. Trotz der Kürzungen bei einzelnen Prämien rechnet Google damit, dass die insgesamt ausgezahlte Summe 2026 weiter steigen wird.

Google zahlt bis zu 1,5 Millionen Dollar für Android-Exploits

Ähnliche Artikel

Neueste Artikel