News : Google setzt Kopfgeld auf Fehler in Chrome-Apps aus

, 4 Kommentare

Google hat das unternehmenseigene Meldeprogramm für Sicherheitslücken – das „Vulnerability Reward Program“ – auf die im eigenen Hause entwickelten Chrome-Apps und -Erweiterungen ausgeweitet. Ab sofort werden 500 bis 10.000 US-Dollar pro Schwachstelle gezahlt – je nachdem, wie gefährlich die Sicherheitslücke ist.

Dies gab Google im unternehmenseigenen Blog bekannt. Zwar seien solche Programme und Erweiterungen nach Ansicht von Google grundsätzlich einfach zu schreiben und in Anbetracht der eigenen Richtlinien vergleichsweise sicher, erfreuen sich aber auch so einer großen Beliebtheit, dass eine gründliche Prüfung sinnvoll erscheine. Nutzer, die in den Google-Anwendungen – wie beispielsweise Hangouts und GMail – ein Sicherheitsproblem erkannt haben wollen, können dies auf einer speziell dafür eingerichteten Seite melden.

Parallel dazu hat Google die Prämien im zweiten Meldeprogramm „Patch Reward“ erhöht. So werden ab sofort 500 bis 1.337 US-Dollar für einfache Vorschläge oder das Beheben von Lücken, die eher theoretischer Natur sind, gezahlt. 5.000 US-Dollar gibt es für Korrekturen von mittleren Lücken, die überzeugende Vorteile für die Sicherheit mit sich bringen.

Prämien in bisher ungekannter Höhe von bis zu 10.000 US-Dollar zahlt Google nur für Korrekturen komplexer Fehler, die fast sicher schwerwiegende Folgen nach sich gezogen hätten. Das „Patch-Reward“-Programm umfasst derzeit wichtige Open-Source-Projekte wie den Linux-Kernel, OpenSSL, Sendmail und libxml2 sowie die Open-Source-Grundlagen Chromium und Blink von Google Chrome. Seit November 2013 gehören zudem auch die freien Webserver Apache httpd, ligttpd und nginx dazu.

Neben Facebook, Mozilla und Twitter verfolgt auch Microsoft mit dem Programm „Blue Hat Bonus for Defense“ seit Längerem einen ähnlichen Ansatz. Es lobt für Abwehrtechniken, die Angriffe zur Umgehung aktueller Schutzsysteme kontern, eine Belohnung von bis zu 50.000 Dollar aus. Im Oktober 2013 hatte auch Yahoo! das unternehmenseigene Meldeprogramm für Sicherheitslücken überarbeitet und zahlt seitdem zwischen 150 und 15.000 US-Dollar pro Schwachstelle.