Google schreibt eine Million Dollar für Chrome-Lücken aus

Bis zu einer Million Dollar ist Google die Aufdeckung von Schwachstellen in seinem Browser Chrome wert. Der Suchkonzern hat dafür einen neuen Wettbewerb während der Sicherheitskonferenz CanSecWest ausgeschrieben.

Er ist ausdrücklich nicht mit dem seit Jahren laufenden Hackerwettbewerb Pwn2Own verbunden, bei dem schon seit Jahren Mobilbetriebssysteme und die Browser verschiedener Hersteller als Angriffsziele vorgegeben sind. Google geht mit seinen Preisgeldern weit über die dort zu gewinnenden Belohnungen hinaus, erwartet aber auch mehr dafür, nämlich die volle Enthüllung von Exploits.

Google zog sogar sein Sponsoring für Pwn2Own zurück, da der Wettbewerb in diesem Jahr ausdrücklich nicht mehr die Enthüllung von Exploits oder aller ausgenutzten Bugs verlangt. „Wir haben deshalb dieses alternative, speziell auf Chrome bezogene Belohnungsprogramm ausgeschrieben“, heißt es in einem Blogeintrag des Chrome-Sicherheitsteams. „Es soll nicht zuletzt deshalb besonders attraktiv sein, weil es der Sicherheit der Benutzer dient, indem es die Einreichung des vollständigen Exploits an uns voraussetzt. Wir garantieren, über nicht mit Chrome zusammenhängende Bugs sofort die jeweiligen Softwareanbieter zu informieren.“

Für jeden „vollständigen Chrome-Exploit“ zur Übernahme eines Benutzerkontos mit Chrome unter Windows 7, der ausschließlich durch Ausnutzung von Schwachstellen in Chrome erfolgt, lobt Google 60.000 Dollar aus. Kommen neben Chrome-Bugs auch andere Bugs zum Einsatz, sind 40.000 Dollar drin. Als „Trostpreis“ sieht es 20.000 Dollar vor, wenn die ausgenutzten Schwachstellen in Flash, Windows oder einem Treiber auftreten und damit nicht nur Chrome, sondern jeden Webbrowser bedrohen.

Die Preise in diesen Kategorien sollen vergeben werden, bis eine Million Dollar erreicht sind. Als Zulage erhalten alle Gewinner außerdem ein Chromebook. Die Höhe der Preisgelder begründen Chris Evans und Justin Schuh vom Chrome-Sicherheitsteam damit, dass die Erarbeitung vollständiger Exploits weit aufwendiger sei, als nur eine potenzielle Sicherheitslücke zu finden und zu melden. Auch für sich selbst erwarten sie erheblichen Nutzen: „Wir können nicht nur die Bugs beseitigen, sondern die Schwachstellen und Exploit-Techniken untersuchen, um unsere Absicherungen, das automatische Testen und Sandboxing zu verbessern.“

Sowohl Google als auch Facebook betätigen sich als Sponsoren eines weiteren Wettbewerbs, bei dem sich Softwareentwickler beweisen können. In sechs ausgeschriebenen Kategorien winken bei 2012 TopCoder Open Preisgelder und Reisen im Wert von insgesamt 300.000 Dollar.

[Mit Material von Steven J. Vaughan-Nichols, ZDNet.com]