Project Zero: Google offre 200 mila dollari a chi “buca” Android (ma l’Italia è esclusa)
Il colosso di Mountain View che ha sviluppato il sistema operativo basato su kernel Linux lancia un nuovo contest per individuare le falle del suo software e farle diventare “conoscenza comune”
Arturo Di Corinto per Cybersecurity del 14 settembre 2016
Natalie Silvanovich, ricercatrice del team Project Zero, in un post sul blog del progetto ha annunciato ieri un nuovo contest dedicato a trovare falle e vulnerabilità in Android.
A detta della ricercatrice il motivo è semplice: Android è diventato il sistema operativo più popolare del mondo mobile e per quanto i ricercatori di Google (proprietaria di Android) siano esperti e infaticabili, molte sue falle di sicurezza sono state scoperte proprio grazie a questi contest. Perciò hanno voluto lanciarne un altro.
Lo stesso Project Zero si aggiunge infatti al programma Android Security Rewards e chiede espressamente agli esperti di sciurezza di tutto il mondo di sfruttare “falle e vulnerabilità di Android per attivare da remoto pezzi di codice (Remote Code Execution, RCE) presenti su qualsiasi dispositivo basato sulla piattaforma Android.”
I più bravi potranno aggiudicarsi tre premi: il primo di $200.000, il secondo di $100.000 e il terzo di $50.000. La competizione durerà sei mesi fino al 14 marzo 2017 usando l’Android issue tracker. Solo al termine del contest, Google offrirà dettagli sui bug scovati dai ricercatori.
Le regole dello Zero Project Contest Prize
Una delle particolarità del contest è che Google vuole che ogni partecipante cominci da un semplice numero di telefono o da un indirizzo email per individuare la bug chain che permette di sfruttare l’esecuzione da remoto di codici malevoli (e legittimi). Gli exploits dovranno essere rivolti a qualsiasi versione di Android Nougat su dispositivi Nexus 5X e 6P e solo questi saranno considerati ai fini della premiazione. Successivamente dovranno inoltrare le “prove” di quanto scoperto attraverso un sito e usando uno specifico template.
E tuttavia a Mountain View sono pronti a considerare altre opzioni di premiazione in grado di rientrare nel già esistente Android Security Rewards program.
Una competizione diversa dal solito
Per quanto riguarda il contest, altra interessante caratteristica indicata dal quartiere generale di Project Zero è che non ci si aspetta che i partecipanti informino Google di quanto hanno trovato alla fine del contest nel marzo prossimo, ma sono invitati a comunicare attraverso la piattaforma dedicata ogni singolo bug che sarà addizionato in maniera incrementale ai precedenti individuati dalla stessa persona.
Il motivo lo spiega con chiarezza la stessa ricercatrice: “Ci sono spesso indiscrezioni circa l’esistenza di exploits per Android ma è difficile vederli in azione. La nostra speranza è che questa competizione possa migliorare la conoscenza collettiva di questo tipo di exploits facendola diventare una conoscenza comune. Si spera che in questo modo apprenderemo di che componenti si tratta, come vengono bypassate le nostre difese e altre informazioni che possano aiutarci a fronteggiare questo tipo di bachi.”
Alla fine del contest Google renderà pubblico tutto il codice degli exploits evetualmente individuati nella speranza che, nel frattempo i bugs più pericolosi siano stati corretti.
Per chi è interessato, qui ci sono le regole ufficiali. E buona fortuna!
Post Scriptum: Per qualche curioso motivo che non conosciamo, l’Italia è esclusa dal contest. Magari si può chiedere a Google il perché di tale decisione.