Wenn eine kostenlose Software wie der VLC-Player auch in hochrangigen Institutionen wie dem Europäischen Parlament häufig genutzt wird, muss man zu deren Sicherheit auch etwas Geld in die Hand nehmen. Zu dieser Einsicht ist das supranationale Parlament gekommen und hat Gelder aus dem »free software security audit programme« (FOSSA) für den VLC-Player freigegeben.


Schwachstelle melden, Geld verdienen
Für die Dauer von bis zu zwei Monaten können Unternehmen oder Hacker nach Schwachstellen in dem Programm suchen und diese an das VLC Security Team übermitteln. Dies geschieht über die Plattform »hackerone«. Das EU-Parlament belohnt dies mit Preisgeldern in Höhe von 100 bis zu 3.000 US-Dollar. Die genaue Höhe hängt von der Schwere der aufgedeckten Sicherheitslücke ab und wird vom VLC-Entwickler festgesetzt.

Der Multimedia-Player VLC von VideoLAN ist nicht nur bei den Parlamentariern, sondern auch bei Apple-Kunden weit verbreitet. Neben einer macOS-Version stehen auch Varianten für iOS, Windows, Linux und Android zur Verfügung. Ziel des Programmes ist es, alle gängigen Audio- und Videocodecs abspielen und Dateiformate lesen zu können. Auch DVDs und verschiedene Streaming-Protokolle, sowie Schnittstellen für TV-Karten gehören zum Funktionsumfang der App, deren aktuelle Version 2.2.6 von der Entwickler-Webseite geladen werden kann ().

Bug-Bounty-Programme sollen eine Win-Win-Situation eröffnen. Hacker haben eine legale Möglichkeit, gefundene Schwachstellen in Geld umzuwandeln. Der Entwickler erfährt von der Existenz der Probleme und kann sie lösen, ohne dass sie konkret an die Öffentlichkeit gelangen. Auch Apple greift auf dieses System zurück: Bis zu 200.000 Dollar können Computerexperten für gemeldete Sicherheitslücken in der Apples Secure Boot Firmware oder der Secure Enclave verdienen. Kritiker befürchten allerdings, dass die finanziellen Anreize zu niedrig sind, um moralisch flexiblen Hackern wirklich eine Alternative zum Verbrechen schmackhaft zu machen.

Weiterführende Links:

• hackerone