Cybersecurity

Project Zero: Google offre 200 mila dollari a chi “buca” Android (ma l’Italia è esclusa)

Il colosso di Mountain View che ha sviluppato il sistema operativo basato su kernel Linux lancia un nuovo contest per individuare le falle del suo software e farle diventare “conoscenza comune”

Natalie Silvanovich, ricercatrice del team Project Zero, in un post sul blog del progetto ha annunciato ieri un nuovo contest dedicato a trovare falle e vulnerabilità in Android.

A detta della ricercatrice il motivo è semplice: Android è diventato il sistema operativo più popolare del mondo mobile e per quanto i ricercatori di Google (proprietaria di Android) siano esperti e infaticabili, molte sue falle di sicurezza sono state scoperte proprio grazie a questi contest. Perciò hanno voluto lanciarne un altro.

google_android_platform

Lo stesso Project Zero si aggiunge infatti al programma Android Security Rewards e chiede espressamente agli esperti di sciurezza di tutto il mondo di sfruttare “falle e vulnerabilità di Android per attivare da remoto pezzi di codice (Remote Code Execution, RCE) presenti su qualsiasi dispositivo basato sulla piattaforma Android.”

I più bravi potranno aggiudicarsi tre premi: il primo di $200.000, il secondo di $100.000 e il terzo di $50.000. La competizione durerà sei mesi fino al 14 marzo 2017 usando l’Android issue tracker. Solo al termine del contest, Google offrirà dettagli sui bug scovati dai ricercatori.

Le regole dello Zero Project Contest Prize

Una delle particolarità del contest è che Google vuole che ogni partecipante cominci da un semplice numero di telefono o da un indirizzo email per individuare la bug chain che permette di sfruttare l’esecuzione da remoto di codici malevoli (e legittimi). Gli exploits dovranno essere rivolti a qualsiasi versione di Android Nougat su dispositivi Nexus 5X e 6P e solo questi saranno considerati ai fini della premiazione. Successivamente dovranno inoltrare le “prove” di quanto scoperto attraverso un sito e usando uno specifico template.

E tuttavia a Mountain View sono pronti a considerare altre opzioni di premiazione in grado di rientrare nel già esistente Android Security Rewards program.

Una competizione diversa dal solito

Per quanto riguarda il contest, altra interessante caratteristica indicata dal quartiere generale di Project Zero è che non ci si aspetta che i partecipanti informino Google di quanto hanno trovato alla fine del contest nel marzo prossimo, ma sono invitati a comunicare attraverso la piattaforma dedicata ogni singolo bug che sarà addizionato in maniera incrementale ai precedenti individuati dalla stessa persona.

Il motivo lo spiega con chiarezza la stessa ricercatrice: “Ci sono spesso indiscrezioni circa l’esistenza di exploits per Android ma è difficile vederli in azione. La nostra speranza è che questa competizione possa migliorare la conoscenza collettiva di questo tipo di exploits facendola diventare una conoscenza comune. Si spera che in questo modo apprenderemo di che componenti si tratta, come vengono bypassate le nostre difese e altre informazioni che possano aiutarci a fronteggiare questo tipo di bachi.”

Alla fine del contest Google renderà pubblico tutto il codice degli exploits evetualmente individuati nella speranza che, nel frattempo i bugs più pericolosi siano stati corretti.

Per chi è interessato, qui ci sono le regole ufficiali. E buona fortuna!

Post Scriptum: Per qualche curioso motivo che non conosciamo, l’Italia è esclusa dal contest. Magari si può chiedere a Google il perché di tale decisione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Exit per Tilt, l’app di social payment comprata da Airbnb per 12 milioni

Airbnb ha versato 12 milioni in cash nelle casse startup che facilita lo scambio di soldi tra persone via mobile, ma tra decine in bonus per i fonunders e scambi di quote l’ammontare totale dell’operazione ammonterebbe a 60 milioni

«Più sei popolare su Facebook più ti facciamo risparmiare su quello che compri»

Il potere degli influencer applicato all’eCommerce: fare un post su Facebook dicendo cosa compri può valere dai 5 ai 10 euro. E’ l’algoritmo della startup italiana Worldz. Dopo il round da 150K abbiamo intervistato il founder e Ceo, Joshua Priore

Disney ha acquisito MakieLab, la startup della prima bambola stampata in 3D

MakieLab dal 2012 produce giocattoli con la fabbricazione digitale. La famosa casa di intrattenimento per bambini l’aveva già accolta nel suo programma di accelerazione nel 2015 e ora ne assorbirà tecnologia e piattaforma

Perché per un mese, ogni martedì, siamo usciti dalla nostra redazione (e non finisce qui)

Siamo bravi con le parole, ma ci piace di più fare: così è nato un format di networking “leggero” e anche un po’ “carbonaro”. Le quattro colazioni The Next Tech a Milano con le startup sono state utili? Chiedete pure feedback a chi c’era