Project Zero, Google dà 200.000 $ a chi scopre vulnerabilità in Android

Google intensifica sforzi e risorse investiti nell’individuare i big del suo sistema operativo e, a questo proposito, lancia un nuovo contest, Project Zero, che potrebbe fruttare 200,000 dollari al vincitore.

Il team di Project Zero si è avvalso di una serie di richieste di assistenza per risolvere i problemi legati al sistema operativo Android. Il team chiede ai partecipanti di sottoporre i bug immediatamente, senza che si attenda che si generi una catena di errori e senza che tali bug diventino una vulnerabilità conclamata. Ai partecipanti viene richiesta un’iscrizione formale al contest, ma solo chi ha sottoscritto un bug può farlo, non sono ammesse le cessioni a terzi o a società.

Un’altra caratteristica del contest è rappresentata dall’impegno da parte di chi partecipa di descrivere le modalità con le quali i bug agiscono e i danni che provocano. L’idea di rendere queste informazioni trasparenti e disponibili al pubblico mira a portare una consapevolezza e una comprensione maggiore dei successi ottenuti e diventa un ottimo mezzo di prevenzione.

A contest finito verranno rese note le parti dei codici che comunemente subiscono attacchi o il modo in cui le misure di sicurezza vengono bypassate. Conoscere questo tipo di informazioni potrebbe fungere da coadiuvante per mitigare debolezze nei codici delle release future di Android.

Per aggiudicarsi il premio, gli hacker dovranno scovare una vulnerabilità oppure una catena di bug che consenta esecuzioni di codici da remoto su dispositivi multipli, sulla base di due soli dati: il numero di telefono e la mail collegati al dispositivo.
Chi riuscirà nella sfida e deciderà di prendere parte al Project Zero verrà ricompensato – in caso di vittoria – con premi in dollari sonanti, così ripartiti:
– Primo classificato: 200.000 dollari
– Secondo classificato: 100.000 dollari
– Terzo classificato: 50.000 dollari.

La deadline è abbastanza lunga ed è stata fissata tra sei mesi. Durante questo lasso di tempo gli hacker avranno sicuramente modo di mettere insieme i dati necessari per rispondere alle richieste del contest. Sebbene il target generico intenda, in generale, i dispositivi Android, c’è una specifica della quale tener conto: i codici devono funzionare su Nexus 6P e Nexus 5X (che girerà su Android 7.x Nougat).