Apple — не единственная компания, готовая выплатить премию в размере $200 тыс. за найденные в мобильных устройствах критические уязвимости. Google решила последовать примеру Apple и объявила о запуске программы Project Zero Prize с максимальным размером премии $200 тыс.

Конкурс, объявленный исследователями из Google Project Zero, начался на этой неделе и продолжится до 14 марта. Участники должны найти критические баги в Android, особенно в устройствах Nexus 6P и Nexus 5x на основе актуальных сборок Android.

«Цель программы — найти уязвимости или комбинацию изъянов, которые позволяют удаленно исполнить код на множестве устройств Android, зная только номер телефона и email-адрес владельца», — сказала член команды Project Zero Натали Силванович (Natalie Silvanovich).

Программа уникальна тем, что исследователи должны будут вносить информацию в интерактивный инструмент учета проблем безопасности по мере их обнаружения, не дожидаясь, пока будут найдены все элементы, необходимые для удаленного исполнения кода.

«Они засчитываются в актив участнику в течение всего периода действия программы. Использовать найденный баг для дальнейшей разработки PoC-эксплойта может только участник, доложивший о нем первым, так что рекомендуем вносить данные как можно раньше и чаще, — сказала Силванович. — Конечно, баги, которые не пройдут квалификацию в рамках конкурса, могут быть использованы в заявках на премию Android Security Rewards и в рамках других программ Bug Bounty Google по окончании конкурса».

По словам Google, первый победитель получит $200 тыс., исследователь, подавший выигрышную заявку вторым, получит $100 тыс. Дополнительные премии в $50 тыс. будут выплачены в рамках инициативы Android Security Rewards.

«Главное для нас в этой программе — выявить, как работают эти критические уязвимости и эксплойты. Часто появляются слухи об удаленных эксплойтах Android, но увидеть их в действии практически не удается, — сказала Силванович. — Мы надеемся, что этот конкурс поможет повысить осведомленность о таком типе атак, узнать, в каких компонентах обычно кроются эти баги, как можно обойти имеющиеся механизмы безопасности и как можно защититься от этих уязвимостей».

После верификации заявки и ее принятия командой Project Zero подавший заявку исследователь должен будет продемонстрировать атаку на реальном устройстве под надзором Google. Для теста будет использоваться стороннее приложение, созданное специально для целей программы Project Zero Prize. В приложении будет содержаться файл с токеном к внутренней файловой системе.

«Участнику нужно будет в течение часа предоставить токены, и, если ему это удастся, он будет признан победителем, — говорится в правилах. — Имена победителей (но не их заявки) будут опубликованы по мере верификации». Согласно Google, в качестве демонстрации допускается только однократное открытие списка сообщений или письма в Gmail.

«Комбинации эксплойтов должны быть практически осуществимы с точки зрения обычного злоумышленника. Мы оставляем за собой право отбраковать эксплойт, работающий лишь при условии длительной атаки, значительно вмешивающийся в работу устройства или обнаруживающий факт атаки», — сказали в Google.

Программа Apple во многом отличается от инициативы Google. Это закрытая программа, в которой участвует ограниченное количество исследователей, отобранных Apple. Об учреждении инициативы было объявлено на конференции Black Hat, и самая крупная премия ($200 тыс.) будет выплачена исследователю, нашедшему уязвимости в компонентах безопасной загрузки и предложившему рабочий PoC-эксплойт. Премия в $100 тыс. присуждается участнику, сумевшему скомпрометировать конфиденциальные данные, защищенные Secure Enclave Processor. $50 тыс. полагается за баги, допускающие исполнение кода с привилегиями на уровне ядра, или за получение доступа к данным аккаунта iCloud на сервере Apple. $25 тыс. будет выплачено за получение доступа к данным пользователя с побегом из сэндбокса.

Категории: Кибероборона, Уязвимости