Il y a beaucoup de rumeurs concernant des exploits à distance touchant Android, mais il est plutôt rare d'en voir un en action, dit Google dans le billet qui annonce le Project Zero Prize.

Toutefois Mountan View veut en savoir plus sur ce type d'exploits et pour cette raison, lance le Project Zero Prize, qui rempensera plutôt substantiellement les découvreurs de vulnérabilités critiques. Qu'il s'agisse d'une vulnérabilité seule ou d'une suite de 'petites' vulnérabilités qui exploitées en chaîne conduisent à prise de contrôle du terminal à distance.

Le premier prix sera récompensé par 200 000 dollars, le second prix par 100 000 dollars et le troisième par 50 000 dollars.

Project Zero Price a un fonctionnement particulier dans le sens ou tout bug trouvé doit être de suite reporté sur l'Android Issue Tracker, même si la soumission d'un rapport de vulnérabilité au Project Zero Prize n'est faite que plus tard. Google précise que seul le premier à avoir rapporté un bug pourra soumettre ensuite son rapport au projet et être récompensé. Si au final un bug reporté n'est pas suivi d'un rapport, une récompense pourra malgré tout être accordée, selon les critères du Android Security Rewards.

Pour remporter un prix du Project Zero Prize, il faut être en mesure de prendre le contrôle d'un terminal Android en ne connaissant que son numéro de téléphone ou une adresse mail.

A vos claviers ! :-)