Den größten Einzelbetrag entfielen auf den Chrome-Browser: Gut 3,7 Millionen Dollar gingen an mehr als 100 Forscher, die Sicherheitslücken in Chrome meldeten. Der laut Googles Bestenliste erfolgreichste Teilnehmer verdiente dabei 811.000 Dollar. Nach Darstellung des Unternehmens halfen diese Meldungen, die Sandbox-Schutzmechanismen der V8-Engine zu verstärken und die Mechanismen zur Speichersicherheit zu verbessern.
Einen vergleichbar hohen Betrag zahlte Google im Cloud-Bereich aus: Über 3,5 Millionen Dollar erhielten 143 Forscher für gemeldete Schwachstellen in Cloud-Diensten. Über das im Oktober 2024 gestartete Cloud VRP wurden im vergangenen Jahr – dem ersten vollen Betriebsjahr des Programms – 1.774 Sicherheitsberichte bearbeitet. Erkenntnisse aus mehreren Meldungen hätten zu erheblichen architektonischen Änderungen in verschiedenen Google-Cloud-Produkten geführt, teilt das Unternehmen mit.
Über das Sicherheitsprogramm für Android und Google-Geräte schüttete Google mehr als 2,9 Millionen Dollar aus. Das Unternehmen beobachtete dabei eine Zunahme von Schwachstellen mit hohem und kritischem Schweregrad – dies vor dem Hintergrund von Investitionen in die Härtung der Plattform, etwa Androids Umstellung auf speichersichere Programmiersprachen sowie Hardware-Schutzmaßnahmen, die klassische Angriffswege über Speicherfehler blockieren. Belohnt wurden unter anderem Schwächen in Androids geräteinternen Gemini-Implementierungen sowie ein kritischer Firmware-Durchbruch, der mehrere gestaffelte Verteidigungsschichten umging.
Weitere Prämien verteilten sich auf spezialisierte Programme: Über das AI VRP zahlte Google mehr als 890.000 Dollar, über das Abuse VRP 482.000 Dollar an Nicht-KI-Belohnungen und über das OSS VRP für quelloffene Software mehr als 327.000 Dollar.
Ziel bleibe es, aufkommenden Bedrohungen voraus zu sein, sich an neue Technologien anzupassen und die Sicherheit der eigenen Produkte und Dienste weiter zu stärken – was nur in Zusammenarbeit mit der externen Forschergemeinschaft möglich sei, so Google.
