В сентябре 2016 года команда баг-хантеров Google Project Zero объявила о старте специальной шестимесячной инициативы Project Zero Prize. Тогда исследователям предложили поискать уязвимости в Android, обнаружить новые методы удаленного выполнения кода (remote code execution, RCE) и другие способы компрометации ОС, когда атакующая сторона знает только номер телефона жертвы и ее email-адрес. Кроме того условия задания запрещали любое взаимодействие с пользователем: жертва не должна была даже кликать на вредоносную ссылку.

Очевидно, представители Google надеялись обнаружить баги, похожие на Stagefrigh, но, к сожалению, затея не увенчалась успехом: на конкурс Google не отправили ни одной подходящей заявки. Натали Сильванович (Natalie Silvanovich) из Google Project Zero пишет, что ни одна из присланных заявок не отвечала условиям соревнования, и в основном на адрес Project Zero Prize приходил только спам.

Напомню, что суммарно Google пообещала выплатить исследователям 350 000 долларов (200 000 победителю; 100 000 участнику или команде, занявшим второе место; и 50 000 обладателям третьего места).

В своем сообщении Сильванович предполагает, что низкий интерес к состязанию мог быть обусловлен несколькими причинами. Во-первых, условия задания, похоже, были слишком сложными, и не стоило запрещать исследователям использовать атаки, требующие взаимодействия с пользователем. Во-вторых, временные рамки соревнования и размер приза, судя по всему, показались большинству исследователей неприемлемыми.

«Хотя подобные типы уязвимостей не являются чем-то невиданным, довольно сложно обнаружить стоящие баги в данной области. А значит, сроки состязания и размер приза могли быть неадекватны багам такого рода, — пишет Сильванович. — Сложно определить подходящий размер вознаграждения для такого соревнования, но тот факт, что мы не получили ни одной заявки, предполагает, что размер приза, вероятно, был слишком мал относительно багов, которые требовались для выигрыша».



1 комментарий

  1. Int

    04.04.2017 at 14:02

    > любое взаимодействия

    Приз слишком мал? Даже за третье место давали 7 годовых зарплат российского программиста. А есть брать зарплату на госслужбе, то это примерно 12 годовых зарплат.

Оставить мнение