Im Rahmen des Vulnerability Reward Programs zahlt Google immer wieder hohe Prämien an Hobby-Hacker aus, die Lücken in den eigenen Produkten oder auch in Produkten von Partner-Unternehmen finden. Je nach Schwere der Lücke kann man sich dabei mehrere durchschnittliche Jahresgehälter mit nur einer Aufgabe verdienen. Jetzt ist es einem Bastler gelungen, zum zweiten mal eine 100.000 Dollar-Lücke zu finden und an Google zu vermelden.
Google ist bestrebt darin, die eigenen Produkte und Plattformen zu Festungen zu machen, die sich nicht von außen angreifen lassen – und das ist dem Unternehmen hohe Prämien im eigenen Bug Bounty-Programm wert. Anfang des vergangenen Jahres hatte man dabei die Prämien für einen Chrome OS-Hack auf bis zu 100.000 Dollar erhöht. Eine solch hohe Summe wird natürlich nur sehr selten ausgezahlt, aber eine Person hat sich nun schon zum zweiten Mal über einen sechsstelligen Scheck von Google freuen dürfen.
Eine 100.000 Dollar-Lücke in Chrome OS erfordert es, dass es einem Nutzer gelingt, aus dem Gastmodus auszubrechen, Code auszuführen und dauerhaft – also auch nach dem Neustart – die Kontrolle über das Betriebssystem zu übernehmen. Da Google das eigene OS gerne als das sicherste der Welt bewerben würde – und das auch häufig suggeriert – ist man natürlich bestrebt darin, dieses Versprechen auch zu halten. Eine solch hohe Prämie erhöht so natürlich den Druck und sorgt dafür, dass selbst die kleinsten Lücken noch gestopft werden.
Google hat die Lücke mittlerweile gestopft und hat sie gleichzeitig mit dem KRACK-Update behoben. Damit ist das System wieder einmal ein großes Stück sicherer geworden. Auch wenn es sich erst einmal nach viel Geld anhört, lohnt sich ein solches Programm für Google natürlich. Würde man eigene Sicherheitsforscher dauerhaft auf so etwas ansetzen, müsste man sehr viel mehr Geld in die Hand nehmen. Und vermutlich haben Hobby-Hacker auch andere Ansätze als „gelernte“ Forscher.
Jährlich nimmt Google viele Millionen allein durch das Vulnerability Reward-Program in die Hand um die eigenen Produkt sicherer zu machen, profitiert aber natürlich auch enorm vom Marketing-Effekt. Auch viele andere Unternehmen zahlen mittlerweile hohe Prämien für solche Hacks. Ein Grund für diese hohe Prämien ist natürlich auch, dass die Hacker die entdeckten Lücken nicht anderweitig verkaufen und sie dann noch ausgenutzt werden.