voor Zero Day
| 21 November 2019 — 17:00 GMT (17:00 GMT)
| Onderwerp: Security
Afbeelding: Google
Google heeft vandaag bekend gemaakt dat het bereid is om schotel uit bug bounty cash beloningen van maximaal € 1,5 miljoen als zekerheid onderzoekers vinden en het rapporteren van bugs in het besturingssysteem Android, dat kan ook in gevaar brengen van haar nieuwe Titan M beveiligings-chip.
Vorig jaar gelanceerd, de Titan M-chip is currenly onderdeel van Google Pixel 3 en 4 Pixel-apparaten. Het is een aparte chip die is opgenomen in zowel telefoons en is uitsluitend gewijd is aan het verwerken van gevoelige gegevens en processen, zoals Verified Boot, op het apparaat schijf encryptie, lock-scherm beveiligingen, veilige transacties, en meer.
Google zegt dat als onderzoekers vinden “een volledige keten remote code execution exploit met volharding” die ook compromissen gegevens beschermd door Titan M, ze zijn bereid te betalen tot $1 miljoen aan de bug hunter die het vindt.
Als de exploit keten werkt tegen een preview-versie van het Android OS, de beloning kan oplopen tot $1,5 miljoen.
Google is bereid om de grotere uitbetaling voor een bug in een preview-versie, want het biedt de onderneming de mogelijkheid om een fout te repareren voordat het Android OS wordt geleverd met real-world apparaten.
Het bedrijf verhuizen komt na eerder dit jaar, particuliere bedrijven die verworven Android exploits was toegenomen uitbetalingen voor Android bugs tot $2,5 miljoen, waardoor het de eerste keer Android-bugs waren meer waard dan iOS exploits op de particuliere markt.
Op het moment, Chaouki Bekrar, CEO van eigen bug overname programma Zerodium, vertelde ZDNet dat zijn bedrijf was toegenomen uitgaven, omdat Android-apparaten waren moeilijker te hacken door de constante stroom van security features die Google heeft toegevoegd aan het OS, samen met bijdragen van Samsung.
Verhoogde uitbetalingen aan de overkant van de raad van bestuur
De aankondiging van vandaag komt Google ook toegenomen bug bounty uitbetalingen aan de overkant van de raad voor de gehele Android Kwetsbaarheid Rewards Programma (VRP).
Tot op heden is de maximale kwetsbaarheid uitbetaling is $200.000 voor “een remote exploit keten die leidt tot een TrustZone of Verified Boot compromis.”
Sinds de Android-VRP ‘ s lancering in 2015, heeft niemand verdiend dit top beloning, en de kansen zijn laag, dat niemand in staat zal zijn om te hack Android draait op een Titan M-chip van beide.
Remote exploits — dat werk zonder de aanvaller met fysieke toegang tot een apparaat-zijn moeilijk te maken, aangezien de meeste beveiligingslekken, zoals netwerk-protocollen zijn aangesloten. Zelfs als een aanvaller/onderzoeker vindt een externe aanval, het verkrijgen van de boot persistentie is een andere belangrijke hindernis die niemand heeft gekraakt.
Google: We hebben twee complete full-keten RCEs
“We hebben gezien dat twee complete full-keten RCEs,’ een Google-woordvoerder vertelde ZDNet in een interview gisteren, toen we vroegen hoe vaak zijn kwetsbaarheid rapporten voor extern worden misbruikt bugs.
“Zij kwamen beiden uit dezelfde onderzoeker. De meerderheid van de exploit ketens ingediend zijn lokale in plaats van op afstand,” de Google-woordvoerder gezegd.
De onderzoeker is Guang Gong, van de Alpha-Lab, Qihoo 360 Technology Co. Ltd.. Één van deze twee RCEs exploiteren ketens heeft ook geholpen Guang net de hoogste bug beloning in 2019.
“Dit rapport gedetailleerd de eerste melding van een 1-klik op remote code execution exploit ketting op de Pixel 3-apparaat,” Google gezegd.
“Guang Gong werd bekroond met $161,337 van de Android Security Rewards programma en $40,000 door Chrome Rewards programma voor een totaal van $201,337,” voegde het toe.
“De $201,337 gecombineerde beloning is ook de hoogste beloning voor een enkele exploiteren keten in alle Google-VRP-programma’ s.”
$500.000 voor heimelijke gegevensverplaatsing en lockscreen omzeilt
Maar naast de invoering van een 1,5 miljoen dollar beloning voor Titan M afstand van de hacks en toenemende bug gaven aan de overkant van de raad van bestuur, Google is ook het toevoegen van een andere bug rapportage categorie.
De OS-maker zegt dat het bereid is te betalen tot $500.000 voor bug-rapporten betreffende data exfiltration en lockscreen omzeilt, afhankelijk van de bug is complexiteit.
Google ‘ s bereidheid om te vergroten bug bounty uitbetalingen is zeker geworteld in het bedrijf vertrouwen in het feit dat Android is veilig genoeg om niet om te vallen bidden om gemakkelijk hacks.
Één van beide manier, Google is niet verlegen en is één van de bedrijven met de grootste uitbetalingen op de markt. Sinds de Android-VRP ‘ s lancering in 2015, Google zei dat het betaalde onderzoekers tot $4,5 miljoen, met $1,5 miljoen wordt betaald in de afgelopen 12 maanden alleen.
“Meer dan 100 deelnemende onderzoekers hebben ontvangen van een gemiddelde beloning een bedrag van meer dan $3,800 per vinden (46% verhoging van vorig jaar). Gemiddeld betekent dit dat we betaald van meer dan $15.000 (20% verhoging van vorig jaar) per onderzoeker,” Google gezegd.
Veiligheid
Chrome Rand, Safari gehackt elite Chinese hack wedstrijd
Duizenden gehackte Disney+ accounts zijn al te koop op het hacken van forums
Cybersecurity is op weg naar een recruitment crisis: Hier is hoe we het probleem oplossen
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 21 November 2019 — 17:00 GMT (17:00 GMT)
| Onderwerp: Security