去年9月,谷歌設(shè)立Project Zero Prize項(xiàng)目,以最高20萬美元獎(jiǎng)金獎(jiǎng)勵(lì)A(yù)ndroid安全貢獻(xiàn)者。在立項(xiàng)半年后,未有任何針對(duì)Android的遠(yuǎn)程漏洞被提交。
發(fā)明家愛迪生曾歷經(jīng)無數(shù)次失敗,但他仍擁有信念:“我沒有失敗,我找到了一萬種錯(cuò)誤的方法。”
看來,Google Project Zero競賽項(xiàng)目大概也是“錯(cuò)誤的方法”之一,截至2017年3月14日比賽截止日期,并沒有任何有效的條目被提交上來。以愛迪生般的信念,可以把該項(xiàng)目當(dāng)做一次極好的經(jīng)驗(yàn)進(jìn)行積累。
Google Project Zero安全研究員Natalie Silvanovich稱:“在整個(gè)比賽過程中,我們沒有收到任何有效的條目或錯(cuò)誤。我們收到的所有內(nèi)容都是垃圾郵件,或者沒有像比賽規(guī)則中所描述的遠(yuǎn)程漏洞那樣的條目。之前確實(shí)聽到一些團(tuán)隊(duì)和個(gè)人稱他們參加了比賽,但他們也沒有提交任何錯(cuò)誤或記錄。”
Project Zero團(tuán)隊(duì)曾學(xué)習(xí)了Silvanovich在博客文章中分享的一些經(jīng)驗(yàn),包括確定“參與者進(jìn)入比賽的三個(gè)關(guān)鍵問題”:找到Android遠(yuǎn)程攻擊的難度、與其他比賽的競爭以及寡而優(yōu)厚的最高獎(jiǎng)項(xiàng)以吸引參賽者成功發(fā)現(xiàn)問題。
“很少有完全遠(yuǎn)程的Android錯(cuò)誤被報(bào)告出來,大多數(shù)Android的bug鏈從一些用戶互動(dòng)開始,常見的是需要點(diǎn)擊一個(gè)鏈接。這種類型的bug并不是前所未見的,在這方面可能很難找到質(zhì)量錯(cuò)誤,”Silvanovich寫道,“這也意味著在比賽或獎(jiǎng)金截止時(shí)間內(nèi),可能不會(huì)有這種類型的錯(cuò)誤出現(xiàn)。”
“Project Zero為如何研究和利用開發(fā)人員社區(qū)工作提供了一些很好的經(jīng)驗(yàn),值得高興的是,他們正在研究能夠最有效地保護(hù)Android平臺(tái)的方法。”Rapid7研究主管Tod Beardsley表示。“參與追蹤并利用漏洞的人在減少,通過既定的賞金計(jì)劃能有效將攻擊力量轉(zhuǎn)化為安全人才資源。
Project Zero項(xiàng)目競賽中最高獎(jiǎng)項(xiàng)20萬美元旨在獎(jiǎng)勵(lì)第一個(gè)成功提交條目的團(tuán)隊(duì),要求是“只知道設(shè)備的電話號(hào)碼和電子郵件地址情況下,找到可以在多個(gè)Android設(shè)備上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的漏洞或漏洞鏈接”,第二個(gè)提交成功的將贏得10萬美元。
“谷歌的獎(jiǎng)金并不少,”Beardsley表示,“漏洞利用開發(fā)者并非徹頭徹尾的雇傭兵,如果錢只是唯一的因素,那么漏洞開發(fā)者都將為私人犯罪或政府工作,顯然這聞所未聞。”
Bugcrowd首席執(zhí)行官兼創(chuàng)始人Casey Ellis稱,Project Zero項(xiàng)目最高獎(jiǎng)金20萬美元并不少,不過在現(xiàn)有缺乏的情況下可能還不夠。
“令人驚訝的是沒有任何有價(jià)值的漏洞被提交上來,畢竟Android完全消除RCE漏洞不太可能,任何軟件都是易受攻擊的。此外,也沒人知道這些參與尋找漏洞的人是否純粹是沖著20萬美元獎(jiǎng)金去的?,F(xiàn)在看來,對(duì)于Android惡意軟件在黑市的價(jià)值以及尋找這種特定類別漏洞的難度來說,20萬美金還遠(yuǎn)遠(yuǎn)不夠。”