Samsung macht findige Bug-Jäger zu Millionären
Samsung lockt Bug-Jäger mit einer erstaunlichen Prämie an: 1 Million US-Dollar für eine bestimmte Schwachstelle. Dieses Geld zu erhalten, ist jedoch alles andere als einfach: Das Ziel ist Samsungs Knox Vault.
Der südkoreanische Hersteller Samsung hat die Bedingungen für sein Bug-Bounty-Programm angepasst. Dieses regelt, wie externe IT-Security-Experten für das Aufdecken von Schwachstellen belohnt werden, wie diese Schwachstellen zu melden sind und wie die Informationen öffentlich gemacht werden sollen.
Neu motiviert eine Prämie von 1 Million US-Dollar die Bug-Jäger, Schwachstellen zu finden. Um diese überaus hohe Summe zu erhalten, müssen die ethischen Hacker die hochsichere Knox Vault erfolgreich kompromittieren. Dabei handelt es sich um ein hardwarebasiertes Sicherheitsfeature; Samsung nutzt dieses, um beispielsweise Passwörter, biometrische Daten und PINs physisch vom Hauptprozessor und vom Speicher isoliert aufzubewahren.
Samsung macht es den Bug-Jägern, die von der Millionen träumen, nicht leicht. Um an das Geld zu kommen, muss man eine Zero-Click-Methode demonstrieren - also ohne Benutzerinteraktion - mit der man ohne privilegierten Zugang ein Galaxy S- oder Z-Handy knacken und die Zugangsdaten erhalten kann, wie "The Register" zusammenfasst.
Wer sich nicht an Knox Vault die Zähne ausbeissen will, wird im Reglement gewiss trotzdem fündig. Darin finden sich nämlich auch zahlreiche weitere, zwar weniger lukrative, aber dafür potenziell realistischere Ziele für ethische Hacker.
Sollte es zu einer Auszahlung kommen, wäre dies deutlich zu sehen in der Statistik: Der südkoreanische Konzern startete sein offizielles Bug-Bounty-Programm 2017. Seitdem zahlte Samsung insgesamt rund 5 Millionen Dollar an hunderte Bug-Jäger. 2023 erhielten 113 Hacker zusammengezählt 827'925 Dollar. Die höchste Prämie für eine einzelne Meldung betrug 57'190 Dollar. Zum Vergleich: Microsoft hat in den vergangenen 12 Monaten (Juli 2023 bis Juli 2024) 16,6 Millionen Dollar an 343 ethische Hacker ausgezahlt.
Übrigens: Das Bundesamt für Cybersicherheit (BACS) arbeitet ebenfalls im Rahmen eines Bug-Bounty-Programms mit ethischen Hackern zusammen. Nachdem der Bund im Jahr 2023 Prämien im Wert von 131'500 Franken ausgezahlt hatte, musste es das Programm allerdings zwischenzeitlich pausieren - das Budget war erschöpft. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.