日前,谷歌宣布一项黑客竞赛项目Zero Prize,以20万美元奖金奖励其安卓安全的贡献者。
参与者的目标在于在仅知道设备电话号码和邮件地址的情况下,找到多个安卓设备上的远程代码执行的漏洞利用。据该项目安全研究员Natalie Silvanovich称,该项目的动机是为了了解更多关于安卓设备的攻击的问题,了解它们是如何被发现的以及如何进行的。
“我们为何要另外设置黑客竞赛项目?这源于我们的主要目的是为了获取到这些bug和漏洞的工作机制的信息,”Silvanovich表示。“关于安卓设备漏洞利用的谣言太多了,这一竞赛项目将会改善公众对各类型漏洞利用的认知。当然,也希望我们能够从中知晓存在哪些问题、我们的安全措施是如何被绕过的以及如何对这类bug及时止损。”
该项目与以往类似项目有所不同。以往这类黑客竞赛中,参与者保存bug和漏洞来建立一个漏洞利用链并提交其最终杰作。然在谷歌宣布的竞赛中,参与者需要在安卓问题追踪器中提交所有bug,在6个月的比赛期中可随时提交漏洞。
Silvanovich表示,只有第一个将bug归档的人才可以将其作为其提交的一部分,而在提交中任何没有停止使用的bug都将在竞赛结束后被安卓安全奖励和谷歌其他奖励项目予以衡量考虑。
此外,Silvanovich还表示Zero项目将对公开分享所有竞赛中提交的漏洞和漏洞利用。“参与者需要提交一份关于其提交的漏洞利用如何运作的完整的描述,最终都会公开发布在该项目博客中。每个漏洞和漏洞利用技巧都将如此。”
除了获胜者可以拿到最高的20万美元奖励外,第二名可以得到10万美元的奖励,同时该安卓安全奖励对其他参与者的奖励也至少有5万美元。
本文转自d1net(转载)
