Uno de los métodos utilizados por algunas empresas del sector TI con el fin de mejorar la seguridad de sus productos y servicios, es ofrecer recompensas a quienes logren detectar vulnerabilidades y agujeros de seguridad. Esta ha sido una práctica estándar en Google, que en esta oportunidad tiene una llamativa propuesta para hackers white hat.
En el blog de Project Zero, que es una de las divisiones de seguridad en Google, se informa que la empresa ofrece fuertes sumas de quienes logre hackear un teléfono Nexus.
Mediante un concurso que se inició el 13 de septiembre, y que se extenderá hasta el 14 de marzo de 2017, Google seleccionará al ganador de un premio máximo de USD 200.000. Para el segundo lugar se ha asignado un premio de USD 100.000, y para el tercer lugar USD 50.000.
Los modelos que deberán ser hackeados para calificar son el Nexus 6P o Nexus 5X. Los aportes deberán cumplir una serie de requisitos, entre los cuales destaca que las vulnerabilidades deben hacer posible la ejecución de código en los aparatos.
Asimismo, las vulnerabilidades deberán ser demostradas en tiempo real en las oficinas de Google, para lo que únicamente se dispondrá de una dirección de correo electrónico y el número telefónico del aparato. Es decir, no se aceptará otra interacción aparte de abrir un correo electrónico o un mensaje de texto. El participante podrá solicitar a Google instalar versiones específicas de programas.
El procedimiento en sí deberá ser práctico desde la perspectiva de un atacante. Es decir, Google no aceptará aportes que requieran tiempo excesivo, que interfieran sustancialmente con el uso del aparato, o que de otra forma den indicaciones claras de que el ataque está siendo realizado.
Tampoco será posible incluir vulnerabilidades detectadas antes del 13 de septiembre.
La competencia es global, y sólo se aplican restricciones a algunos países. Los participantes deberán tener 18 años como mínimo, y no ser empleados de Google. La información completa está disponible en el sitio de Project Zero.