Project Zero Prize: Google veranstaltet Hacking-Wettbewerb

Project Zero von Google sorgt seit ein paar Jahren dafür, dass Nutzer sich weniger mit gefährlichen Bugs in diversen Systemen herumschlagen müssen. Trotz dieser und anderer Bounty-Programme gibt es aber weiterhin Lücken, die zu Hacking Contests veröffentlicht werden und eben auch bis zu diesen zurückgehalten werden. Google begrüßt zwar die Entdeckung der Lücken, würde sie aber wohl gerne in den eigenen Reihen „entdecken“. Deshalb startet Google den Project Zero Prize, einen Hacking-Wettbewerb, der den Sicherheitsexperten eine bestimmte Aufgabe stellt und diese bei Lösung auch finanziell gut entlohnt.

Das Ziel des Wettbewerbs ist es, eine Lücke zu finden, die nur unter Zuhilfenahme der E-Mail-Adresse und der Telefonnummer die Remote-Ausführung von Code auf Android-Smartphones ermöglicht. Die Vorgehensweise ist hier etwas anders als bei anderen Wettbewerben, wo die Bugs zurückgehalten werden. Google möchte, dass die Fehler direkt in den Android Issue Tracker gelangen. Sie können aber jederzeit als Teil der Einreichung verwendet werden. Teile, die dann nicht in der Einreichung landen, können sich dennoch für die normalen Project Zero-Rewards qualifizieren.

Zu holen gibt es im besten Fall 200.000 Dollar, also noch einmal ein ganzes Stück mehr als bei den normalen Project Zero-Belohnungen. Warum das Ganze? Google möchte verstehen, wie solche Exploits funktionieren. Das mag jetzt doof klingen, aber oftmals gibt es ja Gerüchte über Sicherheitslücken, die dann aber niemals in Aktion zu sehen sind oder gar ausgenutzt werden. Gleichzeitig möchte man solche Lücken natürlich schneller schließen.

Alle Details zum Project Zero Prize gibt es bei Google, wo auch die kompletten Regeln für die Teilnahme am Wettbewerb verfügbar sind, die FAQ zum Wettbewerb gibt es hier.