AVG, czeski producent oprogramowania zabezpieczającego dla firm i konsumentów otwiera się dla freelancerów oraz firm trudniących się wyszukiwaniem luk w zabezpieczeniach, oferując nagrody w zamian za znalezione dziury i bugi (na razie) w aplikacjach przeznaczonych dla użytkowników domowych i mikro firm: AVG AntiVirus FREE 2015 oraz AVG Internet Security 2015.
AVG tak jak i Google, Microsoft, Facebook oraz Apple otwierając serwis bugcrowd.com, na którym można już zgłaszać problemy z aplikacjami AVG, stawia kolejny krok w stronę bezpieczeństwa, starając się utrzymać swoje oprogramowanie wolne od luk. Producent zainteresowany jest wyłącznie błędami związanymi:
- ze zdalnym wykonywaniem kodu,
- z uzyskaniem uprawnień z jakich korzysta aplikacja AVG – np. szkodliwe oprogramowanie albo atakujący system z aktualnie zalogowanym użytkownikiem na ograniczonym koncie uzyska uprawnienia administratora i wykona kod z podwyższonymi uprawnianiami,
- z lukami z sterownikach AVG, które mogłyby przyczynić się do ataku Denial of service (DoS) na aplikację AVG,
- z omijaniem auto-ochrony AVG z pomocą integralnych plików antywirusa AVG, kluczy rejestru, uruchomionych procesów i innych kluczowych składników AVG, z wyłączeniem luk w mechanizmach ASLR (Address Space Layout Randomization) i DEP (Data Execution Prevention),
- z innymi błędami, które mogłoby mieć wpływ na bezpieczeństwo systemu i stabilność produktów AVG.
Wszystkie inne błędy nie wymienione powyżej są wyłączone z programu bug bounty AVG, np. fałszywe alarmy generowane przez program, błędy w tłumaczeniu oraz bugi w systemie i bibliotekach Windows, z których korzystają aplikacje AVG. Ponadto, zainteresowane osoby, które chciałby dokładnie sprawdzić podatności innych aplikacji AVG muszą wystąpić o oficjalną zgodę producenta zgodnie z postanowieniami EULA.
Producent w wystosowanym komunikacie prasowym nie zdeklarował, na jakie „nagrody” mogą liczyć osoby zgłaszające problemy. Oby tylko nie przyszło im do głowy rozdawanie licencji, które nie zastąpią nagród pieniężnych.
