Stiamo cercando nuove soluzioni nel campo della sicurezza degli smartphone. Non è necessario che la tecnologia sia completamente perfezionata, ma una prova di concetto convincente dovrebbe poter essere implementata in meno di un anno e con meno di 100 000 franchi svizzeri.

L'obiettivo è che questa tecnologia aiuti ad analizzare in modo efficace e completo la sicurezza delle applicazioni per smartphone create da terzi e le minacce che possono rappresentare. L'obiettivo è anche quello di verificare il comportamento delle applicazioni in un sistema operativo non modificato (non root), offrendo la possibilità di testarle dinamicamente.

Di seguito sono riportati alcuni esempi di tecnologie di sicurezza per smartphone di interesse. Tuttavia, siamo sempre aperti a scoprire tecnologie non elencate ma correlate al tema proposto.

Esempio: Test scatola nera (black-box testing)
Testare un'applicazione senza decompilarla, usare ingegneria inversa o conoscere il suo codice sorgente o la sua struttura. I test vengono eseguiti interagendo con l'interfaccia utente (UI) e osservando come l’applicazione interagisce col network o col dispositivo per rilevare un comportamento dannoso. Si potrebbe valutare l'utilizzo di un approccio di Deep Reinforcement Learning per prevedere le interazioni dell’utente con l'applicazione, per individuare gli elementi dell'interfaccia utente o per generare input per la compilazione di moduli o login.

Esempio: Migliorare la privacy dell'utente con test black-box
Utilizzare i test black-box delle applicazioni per individuare i rischi per la privacy degli utenti come individuare le autorizzazioni pericolose concesse alle applicazioni (ad esempio, lettura dello stato del telefono, localizzazione precisa...). I test black-box potrebbero consentire di verificare se un malintenzionato possa aumentare i propri privilegi (attraverso un'applicazione legittima o un'applicazione malevola) rispetto alle sue funzionalità definite.

Esempio: Test dinamico dell'applicazione
L'applicazione viene testata mentre è in esecuzione, in modo completamente automatizzato. Oltre ai test black-box, esistono altre possibilità per testare dinamicamente le applicazioni, con o senza l'utilizzo dell'interfaccia utente. Per esempio, con l’uso di fuzzing o altre tecniche di test in un modo dinamico.

Esempio: Test del sistema operativo di uno smartphone
In questo caso, l'obiettivo è di testare il sistema operativo normale del smartphone per rilevare un comportamento dannoso o non intenzionale del sistema operativo o delle applicazioni predefinite. I test potrebbero essere effettuati interagendo con l'interfaccia utente, oppure rilevando le alterazioni indotte dalle applicazioni, come le autorizzazioni o altre proprietà.

Non cerchiamo soluzioni che richiedano modifiche sostanziali all'infrastruttura o che possano presentare rischi. Non siamo interessati a concetti o studi, né a soluzioni che si trovano in una fase iniziale di sviluppo. Non siamo interessati a proposte di consulenza o a soluzioni non tecniche.

1. La startup esiste da meno di sette anni a contare da Ottobre 2023
2. I fondatori sono ancora investitori e attivi
3. L'azienda ha almeno tre dipendenti, compresi i fondatori attivi
4. La startup finale selezionata si aggiudicherà un contratto per l'integrazione di un prototipo della tecnologia nell'Esercito svizzero
5. Il contratto aggiudicato ha un valore massimo di CHF 100'000.-. Il valore è subordinato ai lavori necessari per integrare la prova del concetto
6. Il prototipo è supportato dal Cyber-Defence Campus
7. Questa Challenge non è una gara d'appalto. È una ricerca di mercato per trovare una tecnologia promettente che si adatti al meglio alle esigenze dell'Esercito svizzero in materia di intelligence sulle minacce informatiche e per la quale le imprese possono annunciarsi volontariamente
8. Il prototipo non è destinato all’impiego operativo
9. Ogni ulteriore acquisizione avverrà tramite gara d'appalto, e il prototipo non garantisce alcun mandato o acquisto aggiuntivo
10. Tutte le altre società che hanno presentato domanda possono ancora essere prese in considerazione per le gare d'appalto e per ulteriori sfide
11. La società accetta senza riserve le Condizioni generali di contratto della Confederazione Svizzera (CGC). Le aziende che apportano modifiche (aggiunte/adattamenti) sono escluse dalla Challenge.

• La tecnologia è legata alla sicurezza degli smartphone
• La tecnologia è rilevante e può essere utilizzata facilmente  
• Rilevanza tecnologica e fruibilità per l'Esercito svizzero
• Fattibilità del progetto
• Fattore di innovazione e potenziale impatto per l'Esercito svizzero
• Sostenibilità della tecnologia
• Doppio uso (militare, civile)
• Una maggiore priorità sarà data alle aziende svizzere; tuttavia, anche aziende estere sono invitate a partecipare.

• La startup deve compilare il modulo di registrazione e inviare il documento all'indirizzo indicato.
• Il Cyber-Defence Campus selezionerà le dieci migliori aziende e chiederà ulteriori informazioni e dettagli.
• Le tre migliori aziende saranno invitate a presentare la loro azienda e la loro tecnologia.
• Durante la conferenza, i tre finalisti daranno una presentazione di 10 minuti e sarà svelato il vincitore. 

• Termine per le iscrizioni 31.08.2023
• Le dieci migliori soluzioni selezionate 08.09.2023
• Le migliori tre startup vengono presentate all'Esercito svizzero 13.09.2023
• Il vincitore e le tre migliori soluzioni vengono presentati durante la conferenza del CYD Campus 26.10.2023