Bạn có biết cuộc thi hacking trên Android của Google?

Cuộc thi hacking trên Android của Google? Liệu có được nhiều người quan tâm, mục đích của cuộc thi này là gì? Chúng ta cùng nhau tìm hiểu về giá trị, ý nghĩa cũng như muc đích của cuộc thi và cũng của Google là gì !

cuộc thi hacking trên android

Sáu tháng trước, Google đã đề nghị trả 200.000 USD cho bất kỳ nhà nghiên cứu nào có thể hack từ xa vào thiết bị Android bằng cách chỉ biết số điện thoại và địa chỉ email của nạn nhân. 
 
Mặc dù đây có thể là tin tốt lành và là một minh chứng cho sự an toàn của hệ điều hành di động, nhưng có lẽ đó không phải là lý do tại sao Cuộc thi Dự án Zero Prize của công ty lại thu hút sự chú ý quá ít. Ngay từ đầu, mọi người đã chỉ ra rằng 200.000 USD là một giải thưởng quá thấp cho một chuỗi khai thác từ xa không dựa vào tương tác người dùng.
 
"Nếu có thể làm được điều này, thì việc khai thác có thể được bán cho các công ty hoặc tổ chức khác với mức giá cao hơn rất nhiều", một người dùng đã trả lời thông  báo ban đầu của cuộc thi vào tháng Chín.
 
Một người khác nói: "Nhiều người mua ở ngoài đó có thể phải trả nhiều hơn mức giá này, 200k không có giá trị để tìm kim dưới đống cỏ khô.
 
Google đã buộc phải thừa nhận điều này, ghi nhận trong một bài đăng trên blog tuần này rằng "số tiền thưởng có thể quá thấp so với loại lỗi cần để giành chiến thắng trong cuộc thi này." Theo đội bảo mật của công ty, có thể các lý do khác có thể dẫn tới sự thiếu quan tâm, có thể là sự phức tạp cao của các cuộc tấn công như vậy và sự tồn tại của các cuộc thi cạnh tranh, nơi các quy tắc không chặt chẽ.
 
Để có được quyền root hoặc hạt nhân trên Android và thỏa hiệp hoàn toàn một thiết bị, một kẻ tấn công sẽ phải kết nối nhiều lỗ hổng với nhau. Ít nhất, họ cần một lỗ hổng cho phép họ thực thi mã từ xa trên thiết bị, ví dụ trong ngữ cảnh của một ứng dụng, và sau đó là một lỗ hổng để leo thang đặc quyền để thoát khỏi sandbox ứng dụng.
 
Đánh giá bằng các bản tin bảo mật hàng tháng của Android, không có sự thiếu hụt các lỗ hổng trong việc leo thang đặc quyền. Tuy nhiên, Google muốn khai thác được đệ trình như là một phần của cuộc thi này để không dựa vào bất kỳ hình thức tương tác người dùng. Điều này có nghĩa là các cuộc tấn công nên đã làm việc mà không có người dùng nhấp vào liên kết độc hại, truy cập các trang web rogue, nhận và mở các tệp, v.v.
 
Quy tắc này hạn chế đáng kể các điểm vào mà các nhà nghiên cứu có thể sử dụng để tấn công một thiết bị. Lỗ hổng đầu tiên trong chuỗi phải nằm trong các chức năng gửi tin nhắn tích hợp của hệ điều hành như SMS hoặc MMS, hoặc trong phần mềm cơ sở - phần mềm mức thấp kiểm soát modem của điện thoại và có thể bị tấn công qua Mạng di động.
 
>>> Có thể bạn quan tâm: cho thuê máy photo tại hải phòng

Một lỗ hổng đã đáp ứng các tiêu chí này được phát hiện vào năm 2015  trong một thư viện xử lý đa phương tiện Android được gọi là Stagefright với các nhà nghiên cứu từ công ty bảo mật di động Zimperium đang tìm kiếm lỗ hổng. Lỗ hổng này gây ra một nỗ lực vá lỗi lớn vào thời điểm đó, có thể đã bị khai thác bằng cách chỉ đơn giản là đặt một tệp tin media được tạo ra đặc biệt trên bất kỳ vị trí nào trong bộ nhớ của thiết bị.
 
Một cách để làm điều đó là liên quan đến việc gửi tin nhắn đa phương tiện (MMS) đến người dùng mục tiêu và không đòi hỏi bất kỳ sự tương tác nào từ phía họ. Chỉ nhận được một thông điệp như thế mới đủ để khai thác thành công.
 
Nhiều lỗ hổng tương tự đã được tìm thấy trong Stagefright và các thành phần xử lý phương tiện truyền thông Android khác, nhưng Google đã thay đổi hành vi mặc định của các ứng dụng nhắn tin cài sẵn để không còn tự động lấy các tin nhắn MMS, đóng con đường đó để khai thác trong tương lai.
 
Zuk Avraham, người sáng lập và chủ tịch của Zimperium, thông báo qua email cho biết: "Các lỗi từ xa, không được hỗ trợ, rất hiếm và đòi hỏi nhiều sự sáng tạo và tinh tế. Họ có giá trị hơn 200.000 đô la, ông nói.
 
Một công ty mua lại khai thác được gọi là Zerodium cũng cung cấp 200.000 đô la cho các cuộc tấn công từ xa Android nhưng nó không đưa ra một hạn chế về tương tác người dùng. Zerodium bán các khai thác mà nó thu được cho khách hàng, bao gồm cả cơ quan thực thi pháp luật và các cơ quan tình báo.
 
Vậy tại sao bạn lại phải gặp khó khăn trong việc tìm kiếm những lỗ hổng hiếm có để xây dựng các nhóm tấn công tấn công không được hỗ trợ hoàn toàn khi bạn có thể nhận được số tiền tương tự - hoặc thậm chí nhiều hơn trên thị trường chợ đen - vì các cuộc tấn công ít tinh vi hơn?
 
Natalie Silvanovich, một thành viên của nhóm Zero Zero của Google, nói: "Nhìn chung, cuộc thi này là một kinh nghiệm học tập, và chúng tôi hy vọng sẽ đưa những gì chúng tôi học được để sử dụng trong các chương trình phần thưởng của Google và các cuộc thi tương lai". Để đạt được mục tiêu đó, nhóm nghiên cứu mong nhận được ý kiến ​​đóng góp của các nhà nghiên cứu về an ninh.
 
Điều đáng nói là mặc dù thất bại rõ ràng này, Google là một nhà tiên phong về lỗi và đã chạy một số chương trình phần thưởng an toàn thành công trong nhiều năm bao gồm cả phần mềm và dịch vụ trực tuyến.
 
Có ít cơ hội mà các nhà cung cấp sẽ có thể cung cấp cùng một lượng tiền cho các cuộc tấn công như các tổ chức tội phạm, cơ quan tình báo, hoặc khai thác các công ty môi giới. Cuối cùng, chương trình bounty lỗi và các cuộc thi hack là nhằm vào các nhà nghiên cứu có khuynh hướng tiết lộ có trách nhiệm để bắt đầu.

Chúc bạn thành công!

>>> Xem thêm: 
cho thuê máy photo tại bắc giang

Hỗ trợ trực tuyến

kinh doanh 2

kinh doanh 2

0903.22.4949

kinh doanh 1

kinh doanh 1

mayvanphongbongsen@gmail.com

0962.33.4949

go top