Главный приз получит 200 000 долларов.
С 20 сентября 2016 года по 14 марта 2017 года Google запускает свой проект Zero Security Contest, который будет предлагать денежные призы для участников, способных взломать Nexus 6P и 5X, учитывая только номер телефона и адрес электронной почты устройства.
Google просит тех, кто заинтересован в конкуренции, сосредоточиться на уязвимостях, которые позволят злоумышленникам выполнять удаленное выполнение кода на нескольких устройствах Android. Чтобы сделать эксплоит, пользователь может открыть письмо в Gmail или SMS в Messenger, но никакое другое взаимодействие за его пределами не разрешено. Участники должны использовать ту же ошибку на обоих устройствах Nexus, если она не использует функцию безопасности, которую имеет один смартфон, другой нет. В этом случае можно использовать две уникальные уязвимости.
Во время конкурса Google надеется обнаружить новые ошибки. И так как это больше, чем программа баунти-баунти, она будет более подробно анализировать работу эксплойтов и собирать информацию о том, как защитить свои устройства от подобных уязвимостей. Механика конкурса также отмечает, что только первый человек, который подает конкретную ошибку, может ее использовать.
Поисковый гигант просит участников не ждать, пока последняя минута не представит свои ошибки, а скорее, чтобы использовать трекер для Android, чтобы ввести их, как они найдены. Они не должны быть полной цепочкой уязвимостей. Эти записи могут использоваться как часть конкурсного представления в течение шести месяцев.
Победившая запись получит 200 000 долларов, второе место получит 100 000 долларов, а третий приз - 50 000 долларов. Кроме того, победители напишут технический отчет с подробным описанием своей записи, который будет показан в блоге Project Zero.
Когда конкурс завершается, победные уязвимости и эксплоиты будут публично раскрыты.
Источник: CNet