Technologie

Bis zu 30.000 US-Dollar: Chrome erhöht Belohnungen für Auffinden von Sicherheitsfehlern

Prämien für das Melden von Sicherheitsbugs: So wird die Community zu Helfern und von Google gleichzeitig noch großzügig belohnt.

Screenshot YouTube, © Google Chrome

Bereits im Jahr 2010 hat Chrome das Chrome Vulnerability Rewards Program ins Leben gerufen, bei dem Forscher der Community für das Auffinden und Melden von Sicherheitsfehlern belohnt werden. Diese Strategie war ein voller Erfolg. Chrome erhielt seit der Gründung des Programms ganze 8.500 Berichte und belohnte die zahlreichen Beteiligten mit über fünf Millionen US-Dollar.

Chrome belohnt Finden von Sicherheitslücken

Nun spricht Chrome seinen Dank an die zahlreichen Forscher aus und kündigt eine großzügige Erhöhung der Belohnungen an. Zu den Highlights gehören die Verdreifachung des Basis-Belohnungsbetrags von 5.000 US-Dollar auf 15.000 US-Dollar und die Verdoppelung des maximalen Belohnungsbetrags für hochwertige Berichte von 15.000 US-Dollar auf 30.000 US-Dollar. Solche High Quality Reports weisen einige der folgenden Aspekte auf:

  • minimierter Test Case
  • Darstellung, dass Missbrauch der Lücke wahrscheinlich ist
  • Analyse, die die Ursache zu ermitteln hilft
  • der Bericht sollte kurz sein, gut geschrieben und nur notwendige Details und Kommentare enthalten
  • Fragen von Entwicklern, die den Bug beheben wollen, sollten direkt beantwortet werden
  • Vorschlag für einen Patch

Weitere Erhöhungen und Details sind unter den Programm-Regeln auf der Seite von Chrome zu finden.

Fest steht, dass die hohen Prämien ein großer Anreiz für Forscher und Entwickler sind, Sicherheitsfehler zu melden. Selbstverständlich zieht Chrome daraus viele Vorteile, denn nicht umsonst werden die Belohnungen erhöht. Ein hohes Maß an Sicherheit, eine weltweite Beteiligung von Forschern und das schnelle Bemerken von Fehlern sind unter anderem Gründe, warum Chrome die Mitarbeit der Community zu schätzen weiß.

Belohnungen auch für gefundene Fehler im Google Play-Kontext

Durch den Erfolg wurde das Programm im Laufe der Jahre erweitert, Bug-Kategorien und Richtlinien für einen hochwertigen Fehlerbericht festgelegt. Dadurch kann Chrome zwischen den Fehlermeldungen unterscheiden und die Belohnungen entsprechend festlegen. Auch bei Chrome OS und dem Chrome Fuzzer Program werden die Sicherheitsforscher belohnt, die dazu beitragen, die Plattformen zu schützen. Und nicht nur Chrome bemerkte den Erfolg der Strategie, auch Google Play ist ein weiteres Beispiel für die Nutzung eines solchen Programms. Dort wird die Belohnung für das Melden von Remote Code Execution Bugs von 5.000 auf 20.000 US-Dollar angehoben. Hinweise auf Diebstahl privater Daten oder auf den illegitimen Zugriff auf gesicherte App-Komponenten werden mit 3.000 statt wie bisher 1.000 US-Dollar belohnt.

Wer eine Sicherheitslücke findet, kann diese bei Googles Chromium Bug Tracker melden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.