去年9月,谷歌设立Project Zero Prize项目,以最高20万美元奖金奖励Android安全贡献者。在立项半年后,未有任何针对Android的远程漏洞被提交。
发明家爱迪生曾历经无数次失败,但他仍拥有信念:“我没有失败,我找到了一万种错误的方法。”
看来,Google Project Zero竞赛项目大概也是“错误的方法”之一,截至2017年3月14日比赛截止日期,并没有任何有效的条目被提交上来。以爱迪生般的信念,可以把该项目当做一次极好的经验进行积累。
Google Project Zero安全研究员Natalie Silvanovich称:“在整个比赛过程中,我们没有收到任何有效的条目或错误。我们收到的所有内容都是垃圾邮件,或者没有像比赛规则中所描述的远程漏洞那样的条目。之前确实听到一些团队和个人称他们参加了比赛,但他们也没有提交任何错误或记录。”
Project Zero团队曾学习了Silvanovich在博客文章中分享的一些经验,包括确定“参与者进入比赛的三个关键问题”:找到Android远程攻击的难度、与其他比赛的竞争以及寡而优厚的最高奖项以吸引参赛者成功发现问题。
“很少有完全远程的Android错误被报告出来,大多数Android的bug链从一些用户互动开始,常见的是需要点击一个链接。这种类型的bug并不是前所未见的,在这方面可能很难找到质量错误,”Silvanovich写道,“这也意味着在比赛或奖金截止时间内,可能不会有这种类型的错误出现。”
“Project Zero为如何研究和利用开发人员社区工作提供了一些很好的经验,值得高兴的是,他们正在研究能够最有效地保护Android平台的方法。”Rapid7研究主管Tod Beardsley表示。“参与追踪并利用漏洞的人在减少,通过既定的赏金计划能有效将攻击力量转化为安全人才资源。
Project Zero项目竞赛中最高奖项20万美元旨在奖励第一个成功提交条目的团队,要求是“只知道设备的电话号码和电子邮件地址情况下,找到可以在多个Android设备上实现远程代码执行的漏洞或漏洞链接”,第二个提交成功的将赢得10万美元。
“谷歌的奖金并不少,”Beardsley表示,“漏洞利用开发者并非彻头彻尾的雇佣兵,如果钱只是唯一的因素,那么漏洞开发者都将为私人犯罪或政府工作,显然这闻所未闻。”
Bugcrowd首席执行官兼创始人Casey Ellis称,Project Zero项目最高奖金20万美元并不少,不过在现有缺乏的情况下可能还不够。
“令人惊讶的是没有任何有价值的漏洞被提交上来,毕竟Android完全消除RCE漏洞不太可能,任何软件都是易受攻击的。此外,也没人知道这些参与寻找漏洞的人是否纯粹是冲着20万美元奖金去的。现在看来,对于Android恶意软件在黑市的价值以及寻找这种特定类别漏洞的难度来说,20万美金还远远不够。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Google Play Protect如何改善Android安全性?
谷歌新安全平台Google Play Protect旨在提高Android应用安全性,那么,Google Play Protect中有哪些功能?它是否足以确保应用安全性?
-
谷歌尝试通过机器学习解决Android应用隐私问题
谷歌尝试通过利用机器学习来改进应用扫描,从而保护用户免受Android应用隐私侵犯和过多权限的问题,但对于这一做法是否有效,专家持有不同意见。
-
尴尬了:谷歌Android Samba应用仅支持不安全的SMBv1
近日谷歌首次推出其新的Android Samba应用,这显然不是好的发布时机,因为在不久前,在重大攻击事故中攻击者就利用了该应用中部署的不安全版本SMB协议。
-
Project Zero发现Cloudflare漏洞:已致百万客户数据泄露
谷歌的Project Zero发现一个严重Cloudflare漏洞,该漏洞可能已经导致Cloudflare内容交付网络托管的数百万网站的客户数据泄露。