去年9月,谷歌设立Project Zero Prize项目,以最高20万美元奖金奖励Android安全贡献者。在立项半年后,未有任何针对Android的远程漏洞被提交。
发明家爱迪生曾历经无数次失败,但他仍拥有信念:“我没有失败,我找到了一万种错误的方法。”
看来,Google Project Zero竞赛项目大概也是“错误的方法”之一,截至2017年3月14日比赛截止日期,并没有任何有效的条目被提交上来。以爱迪生般的信念,可以把该项目当做一次极好的经验进行积累。
Google Project Zero安全研究员Natalie Silvanovich称:“在整个比赛过程中,我们没有收到任何有效的条目或错误。我们收到的所有内容都是垃圾邮件,或者没有像比赛规则中所描述的远程漏洞那样的条目。之前确实听到一些团队和个人称他们参加了比赛,但他们也没有提交任何错误或记录。”
Project Zero团队曾学习了Silvanovich在博客文章中分享的一些经验,包括确定“参与者进入比赛的三个关键问题”:找到Android远程攻击的难度、与其他比赛的竞争以及寡而优厚的最高奖项以吸引参赛者成功发现问题。
“很少有完全远程的Android错误被报告出来,大多数Android的bug链从一些用户互动开始,常见的是需要点击一个链接。这种类型的bug并不是前所未见的,在这方面可能很难找到质量错误,”Silvanovich写道,“这也意味着在比赛或奖金截止时间内,可能不会有这种类型的错误出现。”
“Project Zero为如何研究和利用开发人员社区工作提供了一些很好的经验,值得高兴的是,他们正在研究能够最有效地保护Android平台的方法。”Rapid7研究主管Tod Beardsley表示。“参与追踪并利用漏洞的人在减少,通过既定的赏金计划能有效将攻击力量转化为安全人才资源。
Project Zero项目竞赛中最高奖项20万美元旨在奖励第一个成功提交条目的团队,要求是“只知道设备的电话号码和电子邮件地址情况下,找到可以在多个Android设备上实现远程代码执行的漏洞或漏洞链接”,第二个提交成功的将赢得10万美元。
“谷歌的奖金并不少,”Beardsley表示,“漏洞利用开发者并非彻头彻尾的雇佣兵,如果钱只是唯一的因素,那么漏洞开发者都将为私人犯罪或政府工作,显然这闻所未闻。”
Bugcrowd首席执行官兼创始人Casey Ellis称,Project Zero项目最高奖金20万美元并不少,不过在现有缺乏的情况下可能还不够。
“令人惊讶的是没有任何有价值的漏洞被提交上来,毕竟Android完全消除RCE漏洞不太可能,任何软件都是易受攻击的。此外,也没人知道这些参与寻找漏洞的人是否纯粹是冲着20万美元奖金去的。现在看来,对于Android恶意软件在黑市的价值以及寻找这种特定类别漏洞的难度来说,20万美金还远远不够。”
本文转自d1net(转载)