谷歌的Android Hacking比赛未能吸引漏洞利用

六个月前，谷歌通过只知道受害者的电话号码和电子邮件地址，您可以向任何可以远程处理Android设备的研究人员支付200,000美元。没有人加强挑战。

虽然这可能听起来像好消息和对移动操作系统的遗嘱的遗嘱安全，但“很可能不是公司项目零奖竞赛的原因所吸引了这么少的兴趣。从一开始，人们指出，200,000美元太低了一个远离用户交互的远程利用链的奖品。

“如果一个人可以这样做，爆炸可以销往其他公司或实体以获得更高的价格，”一位用户在9月份回应了原始比赛公告。

“许多买家在那里可以支付超过这个价格; 200k不值得寻找针在干草堆下的针，”另一个。

谷歌被迫承认这一点，本周注意到博客岗位上，“考虑到赢得这场比赛所需的错误类型，”奖金可能太低“。”根据该公司的安全团队的说法，可能导致缺乏兴趣的其他原因可能是这种漏洞的高度复杂性和竞争比赛的存在性规则严格严格。

为了在Android上获得root或内核权限并完全妥协设备，攻击者将必须将多个漏洞连锁。至少，它们需要一个缺陷，允许它们远程在设备上远程执行代码，例如在应用程序的上下文中，然后是权限升级漏洞以转义应用程序沙箱。

通过Android的每月安全公告来判断，没有特权升级漏洞的不足。但是，谷歌希望作为本次比赛的一部分提交的利用，不依赖于任何形式的用户互动。这意味着攻击应该在没有用户点击恶意链接，访问流氓网站，接收和打开文件等的情况下工作。

这条规则显着地限制了研究人员可以用来攻击设备的入口点。链条中的第一个漏洞必须位于操作系统的内置消息功能，如SMS或MMS等，或者在基带固件中 - 控制手机调制解调器的低级软件，可以经过蜂窝网络攻击。

在2015年在2015年在一个名为STACEFIGHT的核心媒体处理库中发现了一个易受这些标准的漏洞，其中来自移动安全公司Zimperium的研究人员发现漏洞。当时触发大型协调的Android修补工作的缺陷本可以通过在设备存储上的任何位置放置特殊制作的媒体文件来利用。

这样做的一种方法，涉及将多媒体消息（MMS）发送给针对性的用户，并不需要它们的互动。仅接收这样的信息足以成功开发。

由于在STAILFIGHT和其他Android媒体处理组件中找到了许多类似的漏洞，但Google更改了内置消息传递应用程序的默认行为，以便自动检索MMS消息，关闭该大道以获取未来的漏洞。

“偏远，骚动，错误是罕见的，需要很多创造力和精致，”Zimperium的创始人和Zimperium董事长Zuk Avraham表示，通过电子邮件。他说，他们“重复超过20万美元。

一个名为Zerodium的漏洞利用收购公司也为远程Android越狱提供了20万美元，但它不会对用户互动进行限制。Zerodium销售它收购其客户的漏洞利用，包括执法和情报机构。

那么为什么当你可以获得相同数量的金钱 - 甚至更多的黑市时，为什么要找到罕见的漏洞的麻烦，以建立完全没有归于的攻击链 - 以便更复杂的漏洞利用？

“总的来说，这场比赛是一项学习经历，我们希望将我们在谷歌奖励计划和未来的比赛中使用的东西，”谷歌的项目零队的Zero Zere零队的Natalie Silvanovich，在博客帖子中表示。为此，该团队预计她说的安全研究人员的意见和建议。

值得一提的是，尽管发生了这种明显的失败，但谷歌是一个Bug Bounty Pioneer，并且在多年上运行了一些最成功的安全奖励计划，包括其软件和在线服务。

供应商可以为犯罪组织，情报机构或利用经纪人提供相同数量的资金。最终，Bug赏金计划和黑客竞赛旨在掌握对负责任披露开始的研究人员。