Project Zero (Google)

Project Zero je název týmu bezpečnostních analytiků najatých společností Google, jejichž úkolem je hledat zero-day zranitelnosti.

Historie

Poté, co bylo nalezeno množství závad v softwaru používaného mnoha koncovými uživateli, Google rozhodl, že sestaví tým, který bude podobné zranitelnosti vyhledávat nejen v softwaru společnosti Google, ale i v jakémkoliv jiném softwaru užívaném jeho uživateli. Tento nový projekt byl ohlášen 15. června 2014 na Google's security blog.^[1] Tým vede Chris Evans, bývalý šéf bezpečnostního týmu prohlížeče Google Chrome. Dalšími významnými členy jsou například George Hotz, Ben Hawkes, James Forshaw, Ian Beer a Tavis Ormandy.^[2]

Hledání a nahlášení chyb v programu

Nalezené chyby v programu jsou nahlášeny výrobci softwaru. Zveřejněny jsou teprve poté, co je dostupný patch^[1] nebo po 90 dnech po ohlášení chyby.^[3] Ona 90 denní lhůta je způsob, kterým Google implementuje responsible disclosure, což dává společnostem 90 dnů na opravu chyby před informováním veřejnosti, aby ochránili uživatele.^[3]

Významné objevy

Dne 30. září 2014 Google odhalil bezpečnostní vadu v systému Windows 8.1, která umožňovala běžnému uživateli získat administrátorská oprávnění.^[4] Microsoft byl o problému okamžitě informován, ale opravu během 90 dnů nezveřejnil. Chyba byla zveřejněna 29. prosince 2014.^[3]