В дополнение к своей bug bounty программе компания Google учредила конкурс Project Zero Prize. Состязание уже началось и будет длиться еще полгода, до 14 марта 2017 года.
Google приглашает всех исследователей попробовать свои силы во взломе и обнаружении критических багов в Android. Главный приз составит $200 000, передают Новости в Мире.
Конкурс Project Zero Prize стартовал 13 сентября 2016 года, и Google не советует разработчикам и исследователям затягивать с участием.
Хотя состязание будет длиться полгода, главный приз получит тот, кто первым представит на суд компании работающий эксплоит. Кстати, размер вознаграждений за второй и третье место равняется 100 000 и 50 000 долларов, соответственно.
Напомню, что помимо Project Zero Prize у Google есть собственная программа вознаграждения за уязвимости Vulnerabilities Rewards Program (VRP), и конкурс будет проходить параллельно с ней.
Любой, кто решит принять участие в состязании и обнаружит какие-либо баги, должен будет сначала зарегистрировать их через обычный баг-репорт VRP, иначе участника ждет дисквалификация.
При этом Google пообещала, что вознаградит участников за все добавленные в VRP уязвимости, а не только за те, которые будет применяться в составе эксплоита для Project Zero Prize.
Однако воспользоваться багом в рамках Project Zero Prize сможет только тот участник, который первым зарегистрировал проблему в VRP.
Чтобы претендовать на главный приз, участник дожжен будет представить работающий эксплоит, позволяющий осуществить удаленное исполнение произвольного кода в системе.
Эксплоит может работать на базе цепочки различных багов. При этом, согласно условиям состязания, продемонстрировать работу эксплоита придется на нескольких разных устройствах (Nexus 5X и 6P), с разными версиями Android ОС на борту (Android Nougat 7.x).
Задача осложняется тем, что всё, что будет известно исследователю – это номер телефона, привязанный к устройству, а также его email-адрес. Правила конкурса допускают, что для работы эксплоита может потребоваться взаимодействие с пользователем.
Так, разрешается, чтобы жертва открыла письмо, SMS-сообщение или сообщение в мессенджере. К участию в конкурсе допускаются лица старше 13 лет.
Один участник может добавить несколько заявок, но только одна из них может принести ему приз.
