Kopfgeld für Bugs in Antivirensoftware
In der Security-Branche ungewöhnlich, bei anderen Produkten längst Usus: Avast führt eine Belohnung für das Melden von Sicherheitslücken in der eigenen Antivirensoftware ein.
- Bert Ungerer
Avast Software ist der "wahrscheinlich erste Security-Hersteller", der Belohnungen an diejenigen zahlt, die Sicherheitslücken in den Avast-Produkten melden. So verkündet es Ondřej Vlček, CTO des Unternehmens, in einem Blog-Eintrag. Als Sicherheitsunternehmen sei man sich darüber im Klaren, dass Software Sicherheitslücken aufweise – aber auch darüber, dass Firmen, die ihre Anwender in die Fehlersuche einbeziehen, erfolgreicher seien als solche, die einsam kämpften.
Wer dem Hersteller offene Lücken im Rahmen des "Bug Bounty Program" meldet, soll mit einer Belohnung in Höhe von mindestens 200 US-Dollar rechnen dürfen. Im Falle kritischer Fehler können den Angaben des Unternehmens zufolge aber auch 3000 bis 5000 Dollar und noch mehr fließen. Die Höhe der Zahlung hänge unter anderem davon ab, wie viele Bug-Bounty-Fälle es überhaupt geben wird. Avast will nur für die jeweils erste Bug-Meldung zahlen und auch nur dann, wenn der Finder sein Wissen für sich behält, bis Avast die Lücke geschlossen hat oder entscheidet, sie offen zu lassen.
Es steht zu hoffen, dass Avast nicht der einzige Hersteller bleibt, der offiziell für das Aufzeigen von Schwachstellen zahlt. Seit Jahren ist bekannt, dass gerade Antiviren-Software häufig kritische Sicherheitslücken enthält, die als Einfallstor für Schad-Software dienen können. Die exponierte Position auf Mail-Gateways von Firmen und auf den Arbeitsplatzrechnern der Mitarbeiter, wo jeder Unrat vorbeikommt und auch verarbeitet werden muss, macht dies besonders gefährlich.
Bereits vor einigen Jahren Jahren deckten unter anderem Sergio Alvarez und Thierry Zoller in nahezu allen gängigen Antivirus-Programmen kritische Schwachstellen auf. An dieser Situation hat sich grundsätzlich nicht viel geändert. So vermutet Zoller, der heute als Sicherheitsspezialist für Verizon arbeitet, dass er im Zweifelsfall immer noch recht schnell ähnliche Lücken aufspüren könnte. "Mir ist kein Hersteller bekannt, der seine Produkte hier systematisch getestet hat", erklärt er gegenüber heise Security. (un)
