Project Zero Price, il contest per la caccia ai bug
Google ha lanciato Project Zero Price, una competizione incentrata sulla risoluzione di anomalie pericolose nelle app Android.
Google ha molto a cuore la sicurezza e l’affidabilità delle sue applicazioni, visto che rappresentano un’importante fonte di introiti e di coinvolgimento degli utenti. Per questo motivo, per ottimizzare il lavoro in eliminazione di bug e anomalie pericolose, la compagnia ha deciso di lanciare un concorso per la ricerca di vulnerabilità importanti all’interno delle app Android: i partecipanti dovranno individuare eventuali falle o catene di bug in grado di portare all’esecuzione del codice remoto su diversi dispositivi, avendo come punto di partenza solo un indirizzo e-mail e un numero di telefono.
Il concorso è l’evoluzione di un programma lanciato nel 2014 (anch’esso chiamato Project Zero) con lo scopo di migliorare i sistemi di sicurezza grazie alle segnalazioni degli utenti. Dopo aver constatato la portata dei miglioramenti ottenuti grazie alle indicazioni delle terze parti, Google ha deciso quindi di stimolare ulteriormente la ricerca di vulnerabilità attraverso una competizione, la quale prevede 3 premi, dai 50 mila ai 200 mila dollari.
Come funziona Project Zero Price?
Per la modalità di partecipazione, Google ha deciso di ricorrere alla piattaforma Android Issue Tracker, uno spazio dove i partecipanti potranno inserire le proprie segnalazioni e creare una catena di bug. Solo chi inserirà per primo un bug potrà sfruttarlo per la creazione della propria segnalazione completa, la quale potrà avvenire durante un arco di 6 mesi. In questo modo è possibile garantire un alto numero di segnalazioni uniche, evitando doppioni e indicazioni simili. Ogni segnalazione dovrà essere accompagnata da una descrizione dettagliata e verrà resa pubblica in caso di vittoria.
Nell’annunciare il contest, Google ha dichiarato che spesso si sentono voci di vulnerabilità e bug senza però mai averne una testimonianza concreta. Project Zero Price ha quindi come obiettivo quello di portare alla luce tali anomalie attraverso il lavoro degli utenti, molto più numerosi del team di sicurezza del colosso informatico. Per Google potrebbe rivelarsi una mossa davvero vincente, visto che, in un colpo solo, avrà la possibilità di migliorare il proprio livello di sicurezza e fidelizzare gli utenti in grado di contribuire attivamente al miglioramento del servizio. Nel post in cui viene annunciata la sfida, il gruppo si dice fiducioso del fatto che essa porterà alla risoluzione di vulnerabilità importanti, ma anche alla creazione di un maggior senso di condivisione per il miglioramento delle piattaforme. Se così dovesse essere, probabilmente il formato del concorso potrebbe diventare molto popolare anche fra altre realtà che si occupano di sicurezza informatica.