未发现Android远程漏洞,谷歌Project Zero赏金计划“失败”了吗?

简介:

去年9月,谷歌设立Project Zero Prize项目,以最高20万美元奖金奖励Android安全贡献者。在立项半年后,未有任何针对Android的远程漏洞被提交。

发明家爱迪生曾历经无数次失败,但他仍拥有信念:“我没有失败,我找到了一万种错误的方法。”

看来,Google Project Zero竞赛项目大概也是“错误的方法”之一,截至2017年3月14日比赛截止日期,并没有任何有效的条目被提交上来。以爱迪生般的信念,可以把该项目当做一次极好的经验进行积累。

Google Project Zero安全研究员Natalie Silvanovich称:“在整个比赛过程中,我们没有收到任何有效的条目或错误。我们收到的所有内容都是垃圾邮件,或者没有像比赛规则中所描述的远程漏洞那样的条目。之前确实听到一些团队和个人称他们参加了比赛,但他们也没有提交任何错误或记录。”

Project Zero团队曾学习了Silvanovich在博客文章中分享的一些经验,包括确定“参与者进入比赛的三个关键问题”:找到Android远程攻击的难度、与其他比赛的竞争以及寡而优厚的最高奖项以吸引参赛者成功发现问题。

“很少有完全远程的Android错误被报告出来,大多数Android的bug链从一些用户互动开始,常见的是需要点击一个链接。这种类型的bug并不是前所未见的,在这方面可能很难找到质量错误,”Silvanovich写道,“这也意味着在比赛或奖金截止时间内,可能不会有这种类型的错误出现。”

“Project Zero为如何研究和利用开发人员社区工作提供了一些很好的经验,值得高兴的是,他们正在研究能够最有效地保护Android平台的方法。”Rapid7研究主管Tod Beardsley表示。“参与追踪并利用漏洞的人在减少,通过既定的赏金计划能有效将攻击力量转化为安全人才资源。

Project Zero项目竞赛中最高奖项20万美元旨在奖励第一个成功提交条目的团队,要求是“只知道设备的电话号码和电子邮件地址情况下,找到可以在多个Android设备上实现远程代码执行的漏洞或漏洞链接”,第二个提交成功的将赢得10万美元。

“谷歌的奖金并不少,”Beardsley表示,“漏洞利用开发者并非彻头彻尾的雇佣兵,如果钱只是唯一的因素,那么漏洞开发者都将为私人犯罪或政府工作,显然这闻所未闻。”

Bugcrowd首席执行官兼创始人Casey Ellis称,Project Zero项目最高奖金20万美元并不少,不过在现有缺乏的情况下可能还不够。

“令人惊讶的是没有任何有价值的漏洞被提交上来,毕竟Android完全消除RCE漏洞不太可能,任何软件都是易受攻击的。此外,也没人知道这些参与寻找漏洞的人是否纯粹是冲着20万美元奖金去的。现在看来,对于Android恶意软件在黑市的价值以及寻找这种特定类别漏洞的难度来说,20万美金还远远不够。”

本文转自d1net(转载)

目录
相关文章
|
Android开发
IDEA编译gradle提示This version of the Android Support plugin for IntelliJ IDEA (or Android Studio) cannot open this project, please retry with version 2020.3.1 or newer.
IDEA编译gradle提示This version of the Android Support plugin for IntelliJ IDEA (or Android Studio) cannot open this project, please retry with version 2020.3.1 or newer.
692 1
|
4天前
|
JavaScript Java 开发工具
Vue project package Android App
Vue project package Android App
|
9月前
|
Android开发
Android > Project with path ‘:audiovisualize‘ could not be found in project ‘:app‘. 异常解决方案
Android > Project with path ‘:audiovisualize‘ could not be found in project ‘:app‘. 异常解决方案
45 0
|
Rust 安全 Java
谷歌为Android操作系统开发者增加了新的选择 Rust
谷歌为Android操作系统开发者增加了新的选择 Rust
174 0
|
存储 开发框架 安全
Android 反序列化漏洞攻防史话
Java 在历史上出现过许多反序列化的漏洞,但大部分出自 J2EE 的组件。即便是 FastJSON 这种漏洞,似乎也很少看到在 Android 中被实际的触发和利用。本文即为对历史上曾出现过的 Android Java 反序列化漏洞的分析和研究记录。 # 前言 序列化和反序列化是指将内存数据结构转换为字节流,通过网络传输或者保存到磁盘,然后再将字节流恢复为内存对象的过程。在 Web 安全领域
376 0
Android 反序列化漏洞攻防史话
|
Android开发
Android Studio的Project有某个项目,Build Variants却没有,如何添加物已有项目?
Android Studio的Project有某个项目,Build Variants却没有,如何添加物已有项目?
118 0
This project uses AndroidX dependencies, but the ‘android.useAndroidX‘ property is not enabled
This project uses AndroidX dependencies, but the ‘android.useAndroidX‘ property is not enabled
168 0
This project uses AndroidX dependencies, but the ‘android.useAndroidX‘ property is not enabled
This project uses AndroidX dependencies, but the ‘android.useAndroidX‘ property is not enabled
44 0
|
存储 缓存 JSON
Code For Better 谷歌开发者之声——Android 中的 Volley 库
Volley是一个HTTP 库,它使 Android 应用程序的网络变得非常简单和快速。它由 Google 开发并在 2013 年 Google I/O 期间推出。它的开发是因为 Android SDK 中缺少能够在不影响用户体验的情况下工作的网络类。尽管 Volley 是 Android 开源项目 (AOSP) 的一部分,但 Google 在 2017 年 1 月宣布 Volley 将迁移到一个独立的库。它管理网络请求的处理和缓存,并节省开发人员一次又一次编写相同的网络调用/缓存代码的宝贵时间。Volley不适合大型下载或流式操作,因为 Volley 在解析期间将所有响应保存在内存中。
102 0
|
测试技术 Android开发 开发者
使用Android远程真机租用|学习笔记
快速学习使用Android远程真机租用
565 0
使用Android远程真机租用|学习笔记