Cybersecurity

Project Zero: Google offre 200 mila dollari a chi “buca” Android (ma l’Italia è esclusa)

Il colosso di Mountain View che ha sviluppato il sistema operativo basato su kernel Linux lancia un nuovo contest per individuare le falle del suo software e farle diventare “conoscenza comune”

Natalie Silvanovich, ricercatrice del team Project Zero, in un post sul blog del progetto ha annunciato ieri un nuovo contest dedicato a trovare falle e vulnerabilità in Android.

A detta della ricercatrice il motivo è semplice: Android è diventato il sistema operativo più popolare del mondo mobile e per quanto i ricercatori di Google (proprietaria di Android) siano esperti e infaticabili, molte sue falle di sicurezza sono state scoperte proprio grazie a questi contest. Perciò hanno voluto lanciarne un altro.

google_android_platform

Lo stesso Project Zero si aggiunge infatti al programma Android Security Rewards e chiede espressamente agli esperti di sciurezza di tutto il mondo di sfruttare “falle e vulnerabilità di Android per attivare da remoto pezzi di codice (Remote Code Execution, RCE) presenti su qualsiasi dispositivo basato sulla piattaforma Android.”

I più bravi potranno aggiudicarsi tre premi: il primo di $200.000, il secondo di $100.000 e il terzo di $50.000. La competizione durerà sei mesi fino al 14 marzo 2017 usando l’Android issue tracker. Solo al termine del contest, Google offrirà dettagli sui bug scovati dai ricercatori.

Le regole dello Zero Project Contest Prize

Una delle particolarità del contest è che Google vuole che ogni partecipante cominci da un semplice numero di telefono o da un indirizzo email per individuare la bug chain che permette di sfruttare l’esecuzione da remoto di codici malevoli (e legittimi). Gli exploits dovranno essere rivolti a qualsiasi versione di Android Nougat su dispositivi Nexus 5X e 6P e solo questi saranno considerati ai fini della premiazione. Successivamente dovranno inoltrare le “prove” di quanto scoperto attraverso un sito e usando uno specifico template.

E tuttavia a Mountain View sono pronti a considerare altre opzioni di premiazione in grado di rientrare nel già esistente Android Security Rewards program.

Una competizione diversa dal solito

Per quanto riguarda il contest, altra interessante caratteristica indicata dal quartiere generale di Project Zero è che non ci si aspetta che i partecipanti informino Google di quanto hanno trovato alla fine del contest nel marzo prossimo, ma sono invitati a comunicare attraverso la piattaforma dedicata ogni singolo bug che sarà addizionato in maniera incrementale ai precedenti individuati dalla stessa persona.

Il motivo lo spiega con chiarezza la stessa ricercatrice: “Ci sono spesso indiscrezioni circa l’esistenza di exploits per Android ma è difficile vederli in azione. La nostra speranza è che questa competizione possa migliorare la conoscenza collettiva di questo tipo di exploits facendola diventare una conoscenza comune. Si spera che in questo modo apprenderemo di che componenti si tratta, come vengono bypassate le nostre difese e altre informazioni che possano aiutarci a fronteggiare questo tipo di bachi.”

Alla fine del contest Google renderà pubblico tutto il codice degli exploits evetualmente individuati nella speranza che, nel frattempo i bugs più pericolosi siano stati corretti.

Per chi è interessato, qui ci sono le regole ufficiali. E buona fortuna!

Post Scriptum: Per qualche curioso motivo che non conosciamo, l’Italia è esclusa dal contest. Magari si può chiedere a Google il perché di tale decisione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Nasce GroupoRn (e no, non è assolutamente un fake)

Chef sexy a domicilio, manette e viaggi per single. Groupon trasforma i doppi sensi in uno spin-off dedicato a eros e seduzione: si chiama Groupo(R)n, e promette coupon e sconti su esperienze locali, viaggi e prodotti di ogni genere. Anzi, di quel genere

Ricatti, usb infette e password banali: il pericolo cresce in azienda

Il 60 per cento di tutti gli attacchi informatici è perpetrato dal personale e 1 su 4 di questi attacchi è accidentale. I dipendenti cliccano per un allarmante 23 per cento del tempo su email di phishing