Google bude platit za nalézání chyb v Chrome

1. 1. 2010

Sdílet

Google oznámil program, v jehož rámci bude za odhalení zranitelnosti v prohlížeči Chrome platit 500 dolarů. Chris Evans z týmu zodpovědného za zabezpečení Chrome navíc uvedla, že za zvlášť nebezpečné nebo chytré zranitelnosti se odměna může zvýšit až na 1 337 dolarů (částka je jakousi narážkou na slang používaný některými výzkumníky).

Platit se má prozatím za vylepšování kódu prohlížeče i plug-inů, operační systém není součástí projektu, ale podle Googlu do něj může být v budoucnu přidán. Za 9 bezpečnostních chyb objevených „externisty“ v loňském roce Googlu zaplatí zpětně.

Platba bude vázána na to, že až do vydání opravy nezveřejní autor chyby další informace. Za publikované zranitelnosti společnost odměňovat nechce. V případě, že chybu nezávisle na sobě odreportuje více lidí, dostane peníze ten první.

Analytici hodnotí tento krok Googlu kladně, např. v kontextu toho, že Microsoft za nalézání bezpečnostních zranitelností ve svém softwaru platit důsledně odmítá. Mozilla platí 500dolarovou odměnu za zranitelnosti objevené ve Firefoxu nebo Thunderbirdu už od roku 2004. Zástupci Mozilly se pro americký Computerworld nevyjádřili, zda v reakci na krok Googlu plánují svůj motivační program nějak změnit.

Ani Tipping Point provozující svůj program Zero Day Initiative nevnímá Google jako svoji konkurenci. Firma prý platí za chyby v prohlížečích dost peněz, ale většinou je jedná o zranitelnosti v Internet Exploreru a Firefoxu, které mají největší podíl na trhu. Tipping Point se taktéž stará o prohlížeč Safari, protože ten má vztah k zabezpečení iPhonu, naopak Chrome je mimo centrum jeho zájmu. Například z 8 zranitelností v Internet Exploreru, které Microsoft opravil před cca 14 dny (Microsoft vydal mimořádnou opravu Internet Exploreru), mimořádnou sadou záplat, jich bylo 5 objeveno výzkumníky, kteří dostali zaplaceno od TippingPointu. TippingPoint dle vlastních slov platí oproti Mozille a Googlu asi 10krát vyšší odměny, na černém trhu se cena zranitelností ve webových prohlížečích ale údajně může vyšplhat až na cca 30 000 dolarů.

ICTS24

Na konci března se bude ve Vancouveru konat pravidelná a populární konference CanSecWest skupiny Pwn2Own. Tipping Point akci sponzoruje; dosud ale nebylo rozhodnuto, zda mezi produkty, které se zájemci budou snažit prolomit, bude i prohlížeč Chrome.