去年9月，谷歌設(shè)立Project Zero Prize項(xiàng)目，以最高20萬(wàn)美元獎(jiǎng)金獎(jiǎng)勵(lì)A(yù)ndroid安全貢獻(xiàn)者。在立項(xiàng)半年后，未有任何針對(duì)Android的遠(yuǎn)程漏洞被提交。

發(fā)明家愛迪生曾歷經(jīng)無(wú)數(shù)次失敗，但他仍擁有信念：“我沒(méi)有失敗，我找到了一萬(wàn)種錯(cuò)誤的方法。”

看來(lái)，Google Project Zero競(jìng)賽項(xiàng)目大概也是“錯(cuò)誤的方法”之一，截至2017年3月14日比賽截止日期，并沒(méi)有任何有效的條目被提交上來(lái)。以愛迪生般的信念，可以把該項(xiàng)目當(dāng)做一次極好的經(jīng)驗(yàn)進(jìn)行積累。

Google Project Zero安全研究員Natalie Silvanovich稱：“在整個(gè)比賽過(guò)程中，我們沒(méi)有收到任何有效的條目或錯(cuò)誤。我們收到的所有內(nèi)容都是垃圾郵件，或者沒(méi)有像比賽規(guī)則中所描述的遠(yuǎn)程漏洞那樣的條目。之前確實(shí)聽到一些團(tuán)隊(duì)和個(gè)人稱他們參加了比賽，但他們也沒(méi)有提交任何錯(cuò)誤或記錄。”

Project Zero團(tuán)隊(duì)曾學(xué)習(xí)了Silvanovich在博客文章中分享的一些經(jīng)驗(yàn)，包括確定“參與者進(jìn)入比賽的三個(gè)關(guān)鍵問(wèn)題”：找到Android遠(yuǎn)程攻擊的難度、與其他比賽的競(jìng)爭(zhēng)以及寡而優(yōu)厚的最高獎(jiǎng)項(xiàng)以吸引參賽者成功發(fā)現(xiàn)問(wèn)題。

“很少有完全遠(yuǎn)程的Android錯(cuò)誤被報(bào)告出來(lái)，大多數(shù)Android的bug鏈從一些用戶互動(dòng)開始，常見的是需要點(diǎn)擊一個(gè)鏈接。這種類型的bug并不是前所未見的，在這方面可能很難找到質(zhì)量錯(cuò)誤，”Silvanovich寫道，“這也意味著在比賽或獎(jiǎng)金截止時(shí)間內(nèi)，可能不會(huì)有這種類型的錯(cuò)誤出現(xiàn)。”

“Project Zero為如何研究和利用開發(fā)人員社區(qū)工作提供了一些很好的經(jīng)驗(yàn)，值得高興的是，他們正在研究能夠最有效地保護(hù)Android平臺(tái)的方法。”Rapid7研究主管Tod Beardsley表示。“參與追蹤并利用漏洞的人在減少，通過(guò)既定的賞金計(jì)劃能有效將攻擊力量轉(zhuǎn)化為安全人才資源。

Project Zero項(xiàng)目競(jìng)賽中最高獎(jiǎng)項(xiàng)20萬(wàn)美元旨在獎(jiǎng)勵(lì)第一個(gè)成功提交條目的團(tuán)隊(duì)，要求是“只知道設(shè)備的電話號(hào)碼和電子郵件地址情況下，找到可以在多個(gè)Android設(shè)備上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的漏洞或漏洞鏈接”，第二個(gè)提交成功的將贏得10萬(wàn)美元。

“谷歌的獎(jiǎng)金并不少，”Beardsley表示，“漏洞利用開發(fā)者并非徹頭徹尾的雇傭兵，如果錢只是唯一的因素，那么漏洞開發(fā)者都將為私人犯罪或政府工作，顯然這聞所未聞。”

Bugcrowd首席執(zhí)行官兼創(chuàng)始人Casey Ellis稱，Project Zero項(xiàng)目最高獎(jiǎng)金20萬(wàn)美元并不少，不過(guò)在現(xiàn)有缺乏的情況下可能還不夠。

“令人驚訝的是沒(méi)有任何有價(jià)值的漏洞被提交上來(lái)，畢竟Android完全消除RCE漏洞不太可能，任何軟件都是易受攻擊的。此外，也沒(méi)人知道這些參與尋找漏洞的人是否純粹是沖著20萬(wàn)美元獎(jiǎng)金去的?，F(xiàn)在看來(lái)，對(duì)于Android惡意軟件在黑市的價(jià)值以及尋找這種特定類別漏洞的難度來(lái)說(shuō)，20萬(wàn)美金還遠(yuǎn)遠(yuǎn)不夠。”