Højdepunkter
- Udnyttelse skal opnå fjernkørsel af programkode på flere Android-enheder
- Udnyttelse kan kun gøre brug af enhedens telefonnummer og e-mail-adresse
- Konkurrencen vil fortsætte i seks måneder
Hacking konkurrencer, er ikke nye i tech verden, og den seneste er kommet fra Google ‘ s Project Zero team. Holdet har lanceret en hacking konkurrence for at finde de kritiske sikkerhedshuller i Android. Vinderen af konkurrencen vil tage hjem en kontant præmie på $200.000.
I henhold til det hold, målet for denne konkurrence er “for at finde en sårbarhed eller fejl kæde, der opnår fjernkørsel af programkode på flere Android enheder, vel vidende, at kun de enheder telefonnummer og e-mail-adresse,” sagde Natalie Silvanovich, Project Zero Udnytte Entusiast, i et blog-indlæg. At minde om, Project Zero blev dannet først i 2014, og er et hold af sikkerhedseksperter, der ser ud til zero-day exploits, så de kan blive lappet før at blive opdaget af ondsindede.
Konkurrencen struktur er lidt anderledes, som konkurrencedeltagerne behøver ikke at vente til hele bug kæden til at danne og kan starte med indsendelse af deres indlæg med Android Issue Tracker. Efter den første indtastning af fejlen, kan deltageren anvende det til enhver tid som led i forelæggelsen i en længde af 6-måneders konkurrence.
Det er vigtigt at bemærke, at den bug rapporteret af en bestemt deltager kan kun benyttes af de, der deltager på et senere tidspunkt. Deltagerne er forpligtet til at indsende en fuld beskrivelse af hvordan udnytte deres værker, og denne beskrivelse vil senere blive publiceret på teamets officielle blog.
Projektet Nul team har præciseret, at hver svaghed og udnytte den teknik, der anvendes i hver vindende indsendelse vil blive offentliggjort. Ud over det vindende indlæg, vil selskabet være ved at give væk til $100.000 som anden præmie, og $50.000, vil blive delt blandt andre aktører på markedet.
Selvfølgelig, Internettet allerede har bug bounty program kaldet Google Sikkerhed Belønning Programmer til alle sine produkter, og i juni sidste år, blev der indført en særlig Android Sikkerhed Belønninger program. Virksomheden har for nylig afsløret, at det havde udbetalt $550,000 til Android bug forskere, da programmet blev indledt, og at det var øge belønninger for hver type af sårbarhed fundet.
Så bare hvorfor er det at starte en separat hacking contest? Silvanovich forklarer, at “på Trods af eksistensen af sårbarhed belønninger programmer hos Google og andre virksomheder, mange unikke, høj kvalitet, sikkerhed bugs er blevet opdaget som et resultat af hacking konkurrencer. Håber at kunne fortsætte den strøm af store bugs, som vi har besluttet at starte vores egen konkurrence: Projektet Nul-Prisen.”
Silvanovich tilføjer, “Vores vigtigste motivation er at få oplysninger om, hvordan disse bugs og exploits arbejde. Der er ofte rygter om Android remote exploits, men det er forholdsvis sjældent at se den i aktion. Vi håber, denne konkurrence vil forbedre offentlighedens viden om disse typer af bedrifter. Dette vil forhåbentlig lære os, hvilke komponenter disse spørgsmål kan findes i, hvordan sikkerheden sikkerhedsproblemerne er omgås, og andre oplysninger, der kan hjælpe med at beskytte mod disse typer af fejl… Også, vi håber at få farlige fejl er rettet, så de ikke påvirker brugere. Konkurrencer ofte føre til andre typer af fejl, der er mindre almindeligt rapporterede at blive fast, så vi håber, denne konkurrence fører til mindst et par bugs bliver rettet i Android.”