Cybersecurity

Project Zero: Google offre 200 mila dollari a chi “buca” Android (ma l’Italia è esclusa)

Il colosso di Mountain View che ha sviluppato il sistema operativo basato su kernel Linux lancia un nuovo contest per individuare le falle del suo software e farle diventare “conoscenza comune”

Natalie Silvanovich, ricercatrice del team Project Zero, in un post sul blog del progetto ha annunciato ieri un nuovo contest dedicato a trovare falle e vulnerabilità in Android.

A detta della ricercatrice il motivo è semplice: Android è diventato il sistema operativo più popolare del mondo mobile e per quanto i ricercatori di Google (proprietaria di Android) siano esperti e infaticabili, molte sue falle di sicurezza sono state scoperte proprio grazie a questi contest. Perciò hanno voluto lanciarne un altro.

google_android_platform

Lo stesso Project Zero si aggiunge infatti al programma Android Security Rewards e chiede espressamente agli esperti di sciurezza di tutto il mondo di sfruttare “falle e vulnerabilità di Android per attivare da remoto pezzi di codice (Remote Code Execution, RCE) presenti su qualsiasi dispositivo basato sulla piattaforma Android.”

I più bravi potranno aggiudicarsi tre premi: il primo di $200.000, il secondo di $100.000 e il terzo di $50.000. La competizione durerà sei mesi fino al 14 marzo 2017 usando l’Android issue tracker. Solo al termine del contest, Google offrirà dettagli sui bug scovati dai ricercatori.

Le regole dello Zero Project Contest Prize

Una delle particolarità del contest è che Google vuole che ogni partecipante cominci da un semplice numero di telefono o da un indirizzo email per individuare la bug chain che permette di sfruttare l’esecuzione da remoto di codici malevoli (e legittimi). Gli exploits dovranno essere rivolti a qualsiasi versione di Android Nougat su dispositivi Nexus 5X e 6P e solo questi saranno considerati ai fini della premiazione. Successivamente dovranno inoltrare le “prove” di quanto scoperto attraverso un sito e usando uno specifico template.

E tuttavia a Mountain View sono pronti a considerare altre opzioni di premiazione in grado di rientrare nel già esistente Android Security Rewards program.

Una competizione diversa dal solito

Per quanto riguarda il contest, altra interessante caratteristica indicata dal quartiere generale di Project Zero è che non ci si aspetta che i partecipanti informino Google di quanto hanno trovato alla fine del contest nel marzo prossimo, ma sono invitati a comunicare attraverso la piattaforma dedicata ogni singolo bug che sarà addizionato in maniera incrementale ai precedenti individuati dalla stessa persona.

Il motivo lo spiega con chiarezza la stessa ricercatrice: “Ci sono spesso indiscrezioni circa l’esistenza di exploits per Android ma è difficile vederli in azione. La nostra speranza è che questa competizione possa migliorare la conoscenza collettiva di questo tipo di exploits facendola diventare una conoscenza comune. Si spera che in questo modo apprenderemo di che componenti si tratta, come vengono bypassate le nostre difese e altre informazioni che possano aiutarci a fronteggiare questo tipo di bachi.”

Alla fine del contest Google renderà pubblico tutto il codice degli exploits evetualmente individuati nella speranza che, nel frattempo i bugs più pericolosi siano stati corretti.

Per chi è interessato, qui ci sono le regole ufficiali. E buona fortuna!

Post Scriptum: Per qualche curioso motivo che non conosciamo, l’Italia è esclusa dal contest. Magari si può chiedere a Google il perché di tale decisione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Dai banchi di scuola al pitch. I finalisti del progetto “A Scuola di Startup” a DigithON 2017

Il progetto realizzato da AuLab ha coinvolto per il terzo anno consecutivo studenti delle scuole secondarie superiori. Il team vincitore sarà premiato dal Gruppo Giovani Imprenditori di Confindustria Bari e Bat. Abbiamo intervistato Davide Neve, CEO di AuLab

Imparare a guidare con la realtà virtuale e aumentata. Il progetto di Guida e Vai

Salvatore Ambrosino, cofondatore e direttore commerciale di Guida e Vai, ha ideato un nuovo sistema di insegnamento per preparare all’esame di teoria le nuove generazioni. I ragazzi potranno simulare con smartphone e visore le situazioni che potrebbero incontrare su strada

Hephaestus Venture, il fondo che porta le startup italiane in Brasile

Il fondo ha la missione di supportare le startup nei processi di internazionalizzazione verso il Brasile, un mercato emergente e in forte crescita, se si pensa che il 57.4% dei finanziamenti in America Latina si concentra in questo Paese.

Cyber-Diplomacy | Che cos’è e qual è il ruolo dell’Italia (nel G7)

Le relazioni internazionali sono chiamate ad avere un ruolo specializzato al Cyber Spazio e devono agire al suo interno per supportare il complesso di accordi e regole di carattere internazionale oggi ancora incompleto in proposito