В дополнение к своей bug bounty программе компания Google учредила конкурс Project Zero Prize. Состязание уже началось и будет длиться еще полгода, до 14 марта 2017 года. Google приглашает всех исследователей попробовать свои силы во взломе и обнаружении критических багов в Android. Главный приз составит $200 000.
Конкурс Project Zero Prize стартовал 13 сентября 2016 года, и Google не советует разработчикам и исследователям затягивать с участием. Хотя состязание будет длиться полгода, главный приз получит тот, кто первым представит на суд компании работающий эксплоит. Кстати, размер вознаграждений за второй и третье место равняется 100 000 и 50 000 долларов, соответственно.
Напомню, что помимо Project Zero Prize у Google есть собственная программа вознаграждения за уязвимости Vulnerabilities Rewards Program (VRP), и конкурс будет проходить параллельно с ней. Любой, кто решит принять участие в состязании и обнаружит какие-либо баги, должен будет сначала зарегистрировать их через обычный баг-репорт VRP, иначе участника ждет дисквалификация. При этом Google пообещала, что вознаградит участников за все добавленные в VRP уязвимости, а не только за те, которые будет применяться в составе эксплоита для Project Zero Prize. Однако воспользоваться багом в рамках Project Zero Prize сможет только тот участник, который первым зарегистрировал проблему в VRP.
Чтобы претендовать на главный приз, участник дожжен будет представить работающий эксплоит, позволяющий осуществить удаленное исполнение произвольного кода в системе. Эксплоит может работать на базе цепочки различных багов. При этом, согласно условиям состязания, продемонстрировать работу эксплоита придется на нескольких разных устройствах (Nexus 5X и 6P), с разными версиями Android ОС на борту (Android Nougat 7.x). Задача осложняется тем, что всё, что будет известно исследователю – это номер телефона, привязанный к устройству, а также его email-адрес. Правила конкурса допускают, что для работы эксплоита может потребоваться взаимодействие с пользователем. Так, разрешается, чтобы жертва открыла письмо, SMS-сообщение или сообщение в мессенджере.
К участию в конкурсе допускаются лица старше 13 лет. Один участник может добавить несколько заявок, но только одна из них может принести ему приз. Победителей определит жюри. Полную версию правил конкурса можно найти здесь.