Bạn tự tin có thể bẻ khóa thành công một chiếc điện thoại chạy Android cao cấp? Được thôi, đừng trổ tài lung tung mà lại gặp rắc rối với pháp luật, hãy tìm đến và chứng tỏ khả năng ấy cho Google xem, và họ thậm chí sẽ trả công cho vụ phá phách ấy nữa kìa. Hôm qua, công ty Google chính thức công bố chương trình có tên Project Zero, mà thực chất là một cuộc thi nhằm kêu gọi tất cả các tin tặc tham gia tấn công để tìm ra các yếu điểm có trên hệ điều hành dành cho thiết bị di động của họ để đổi lấy tiền mặt như phần thưởng.

“Mặc dù diễn ra nhiều cuộc thi săn tiền thưởng có cùng tính chất giúp phát hiện lỗi do Google cũng như các công ty khác đề ra. Nhưng với cuộc thi này sẽ nhằm phát hiện các kẽ hở và lỗi cho phép thực thi mã lệnh từ xa trên nhiều thiết bị chạy hệ điều hành Android với điều kiện chỉ biết số điện thoại và địa chỉ email của điện thoại.”

Để cung cấp các lỗi bảo mật phát hiện được, những người tham gia được đề nghị đăng tải thông tin lên trang Theo dõi lỗi của hệ điều hành Android (Android issue tracker), đây là một diễn đàn công cộng để báo cáo về các lỗi phát sinh từ hệ điều hành Android. Tất nhiên các bài đăng sẽ phải có đầy đủ cách thức mà người tham gia áp dụng để khai thác lỗi. Một điều kiện khác nữa là họ phải thực hiện tấn công khai thác lỗi trên các dòng điện thoại Nexus của Google bao gồm Nexus 6P do Huawei gia công, Nexus 5X đến từ kình địch đồng hương của Samsung ở Hàn Quốc, cộng thêm bất kỳ điện thoại nào đang chạy bản cập nhật mới nhất của hệ điều hành Android 7.0 Nougat. Việc báo lỗi có thể nộp bất kỳ lúc nào phát hiện được trong suốt thời hạn 6 tháng mà cuộc thi diễn ra, công ty Google cho biết.

android-nougat

Giờ là thông tin về giải thưởng. Theo đó, người thắng giải nhất sẽ được nhận số tiền 200.000 USD, trong khi người về nhì được nhận 100.000 USD. Và những người còn lại (hiện chưa có con số cụ thể là bao nhiêu người) sẽ được nhận giải thưởng an ủi là 50.000 USD. Lưu ý: tham gia cuộc thi này chỉ có thắng chứ không thể thua vì công ty Google cho biết thêm rằng các lỗi được phát hiện nhưng vì lý do nào đó không được báo về trong thời gian 6 tháng diễn ra cuộc thi, thì vẫn được phép nộp tham gia các cuộc thi khác cùng tính chất, chẳng hạn như Android Security Rewards, cũng như các cuộc thi trong tương lai, dù hiện chưa có thông tin chi tiết.

Việc tổ chức một cuộc thi khai thác lỗi như Project Zero còn có một động cơ khác là phát hiện lỗi – báo cáo – Google tiến hành vá lỗi ngay lập tức, thậm chí trong một số trường hợp thì Google sẽ chơi “đánh phủ đầu” luôn, tức rào giậu hết. “Mục tiêu chính của chúng tôi là có được thông tin cho biết cách thức các lỗ hổng sẽ được khai thác,” nhân viên Silvanovich của Google cho biết. “Chúng ta thường được nghe các tin đồn về việc hệ điều hành Android có thể bị tấn công khai thác từ xa, nhưng thực tế lại hiếm khi được chứng kiến cách thức diễn ra. Do đó, với cuộc thi này, chúng tôi hy vọng sẽ cải thiện hơn nữa nhận thức về kiểu tấn công khai thác ấy.”

Một mục tiêu khác mà công ty Google đồng thời nhắm đến là với số tiền thưởng khổng lồ thì sẽ dẫn dụ được các tin tặc thượng thừa nhưng hám lợi chịu xuất chiêu “chỉ bảo” thay vì lẳng lặng giữ thông tin lỗi để bán lại cho những kẻ xấu khác với một mức giá cao. Theo thống kê gần đây của Trung tâm nghiên cứu chiến lược và quốc tế của McAfee thì chi phí của tội phạm mạng vào khoảng 160 tỷ USD mỗi năm. Và với nhu cầu sử dụng các thiết bị di động ngày càng tăng cao thì các giao dịch mờ ám trên thị trường đen internet tất nhiên tăng tương ứng. Lấy thêm một ví dụ về lỗi zero-day mới được phát hiện ở hệ điều hành iOS, thì được biết giá bán thông tin lên đến 250.000 USD, trang Wired cho biết, và một số chính phủ đã phải chấp nhận bỏ ra gần nửa triệu đô la cho các vụ tấn công tương tự.

Advertisements