Google hará un concurso ofreciendo premios por hackear Android
A pesar de la existencia de un programa de recompensas por vulnerabilidades halladas en Android, Project Zero de Google pretende ir un poco más allá e iniciar un concurso para destapar vulnerabilidades graves en Android, Project Zero Prize, que se complementará con el programa de recompensas ya existente.
La meta de este concurso es la de encontrar una vulnerabilidad o cadena de vulnerabilidades que permitan la ejecución de código en remoto sobre múltiples dispositivos Android solo sabiendo el número de teléfono y una dirección de correo electrónico. Las demostraciones de explotación de vulnerabilidad con éxito podrán optar a alguno de estos tres premios.
- Primer Premio: Se dará 200.000 dólares a quien presente la vulnerabilidad o cadena de vulnerabilidades ganadora del concurso.
- Segundo Premio: El segundo clasificado recibirá 100.000 dólares.
- Tercer Premio: Al menos 50.000 dólares otorgados por el Programa de Recompensas de Android, al cual también optarán otras entregas ganadoras.
- Los participantes que envíen entradas ganadoras serán invitados a escribir un corto informe técnico sobre sus entradas que será publicado en blog de Project Zero.
El concurso será estructurado de forma algo diferente al habitual. En lugar de guardar los bugs hasta que haya una cadena de bugs entera para luego enviársela a Project Zero Prize, se pedirá a los participantes un informe de los bugs en el tracker de problemas de Android. Esto permitirá su utilización como parte de una propuesta en cualquier momento durante los seis meses que durará el concurso. Solo la primera persona que presente un error puede usarlo como parte de su propuesta, aunque los bugs que no sean utilizados para la propuesta pueden ser considerados para el Programa de Recompensas de Android o cualquier otro programa de recompensas de Google después de que haya finalizado el concurso.
La compartición pública de las vulnerabilidades y exploits será de suma importancia. Los participantes enviarán una descripción completa sobre cómo funcionan sus exploits, que eventualmente serán publicados en el blog de Project Zero. Cada vulnerabilidad o exploit utilizado en cada propuesta ganadora se hará pública.
La intención de Google es descubrir si algunos de los exploits que se mencionan existen realmente y saber cómo funcionan. Por otro lado, la compañía pretende obtener todavía más información sobre el tipo de exploit que abarcará el concurso.
Los que estén interesados pueden ver las normas del concurso y las preguntas más frecuentes para obtener más información.
Fuente: Muyseguridad.net