Cybersecurity

Project Zero: Google offre 200 mila dollari a chi “buca” Android (ma l’Italia è esclusa)

Il colosso di Mountain View che ha sviluppato il sistema operativo basato su kernel Linux lancia un nuovo contest per individuare le falle del suo software e farle diventare “conoscenza comune”

Natalie Silvanovich, ricercatrice del team Project Zero, in un post sul blog del progetto ha annunciato ieri un nuovo contest dedicato a trovare falle e vulnerabilità in Android.

A detta della ricercatrice il motivo è semplice: Android è diventato il sistema operativo più popolare del mondo mobile e per quanto i ricercatori di Google (proprietaria di Android) siano esperti e infaticabili, molte sue falle di sicurezza sono state scoperte proprio grazie a questi contest. Perciò hanno voluto lanciarne un altro.

google_android_platform

Lo stesso Project Zero si aggiunge infatti al programma Android Security Rewards e chiede espressamente agli esperti di sciurezza di tutto il mondo di sfruttare “falle e vulnerabilità di Android per attivare da remoto pezzi di codice (Remote Code Execution, RCE) presenti su qualsiasi dispositivo basato sulla piattaforma Android.”

I più bravi potranno aggiudicarsi tre premi: il primo di $200.000, il secondo di $100.000 e il terzo di $50.000. La competizione durerà sei mesi fino al 14 marzo 2017 usando l’Android issue tracker. Solo al termine del contest, Google offrirà dettagli sui bug scovati dai ricercatori.

Le regole dello Zero Project Contest Prize

Una delle particolarità del contest è che Google vuole che ogni partecipante cominci da un semplice numero di telefono o da un indirizzo email per individuare la bug chain che permette di sfruttare l’esecuzione da remoto di codici malevoli (e legittimi). Gli exploits dovranno essere rivolti a qualsiasi versione di Android Nougat su dispositivi Nexus 5X e 6P e solo questi saranno considerati ai fini della premiazione. Successivamente dovranno inoltrare le “prove” di quanto scoperto attraverso un sito e usando uno specifico template.

E tuttavia a Mountain View sono pronti a considerare altre opzioni di premiazione in grado di rientrare nel già esistente Android Security Rewards program.

Una competizione diversa dal solito

Per quanto riguarda il contest, altra interessante caratteristica indicata dal quartiere generale di Project Zero è che non ci si aspetta che i partecipanti informino Google di quanto hanno trovato alla fine del contest nel marzo prossimo, ma sono invitati a comunicare attraverso la piattaforma dedicata ogni singolo bug che sarà addizionato in maniera incrementale ai precedenti individuati dalla stessa persona.

Il motivo lo spiega con chiarezza la stessa ricercatrice: “Ci sono spesso indiscrezioni circa l’esistenza di exploits per Android ma è difficile vederli in azione. La nostra speranza è che questa competizione possa migliorare la conoscenza collettiva di questo tipo di exploits facendola diventare una conoscenza comune. Si spera che in questo modo apprenderemo di che componenti si tratta, come vengono bypassate le nostre difese e altre informazioni che possano aiutarci a fronteggiare questo tipo di bachi.”

Alla fine del contest Google renderà pubblico tutto il codice degli exploits evetualmente individuati nella speranza che, nel frattempo i bugs più pericolosi siano stati corretti.

Per chi è interessato, qui ci sono le regole ufficiali. E buona fortuna!

Post Scriptum: Per qualche curioso motivo che non conosciamo, l’Italia è esclusa dal contest. Magari si può chiedere a Google il perché di tale decisione.

Galaxy Note 8, tutte le notizie prima del lancio

Dopo la sfortunata storia del Note 7, quest’anno Samsung spera di bissare il successo del Galaxy S8. Con un terminale munito di pennino e accessori omaggio per chi prenota subito

Il motore di ricerca della moda cresce e aggiunge altre città | Papèm

La startup, guidata da Alberto Lo Bue e Carlo Alberto Lipari, dopo aver ricevuto il premio Endeavor ai MYllennium awards, ha annunciato che l’espansione non si fermerà fino a quando Papèm non sarà presente in ogni angolo di tutte le città

Android 8.0, nome in codice: Oreo

Rispettata la tradizione dei dolcetti anche nella nuova release del sistema operativo mobile di Google. Che porta in dote novità per velocità e sicurezza

Zooppa lancia il primo contest per video VR a 360°. Ecco come partecipare

C’è tempo fino al 16 ottobre, saranno selezionati i migliori video promozionali o di storytelling girati con tecnologia 360° e della durata massima di 120 secondi
Garmin è partner tecnologico dell’iniziativa e mette in palio 5 Camere VIRB 360

DevSecOps: lo sviluppo software agile attento alla sicurezza

Sviluppatori, esperti di sicurezza, reparto IT: tutti devono collaborare per creare software davvero sicuro. Un concetto che si concretizza nel DevSecOps, un modo moderno e veloce per arrivare dall’idea alla produzione senza correre rischi