för Zero Day
| November 21, 2019 — 17:00 GMT (17:00 (GMT)
| Ämne: Säkerhet
Bild: Google
Google meddelade idag att man är villig att dela ut bug bounty kontanta belöningar på upp till $1,5 miljoner om säkerhet forskare att hitta och rapportera fel i operativsystemet Android som också kan äventyra dess nya Titan M security chip.
Lanserades förra året, Titan M chip är currenly del av Google Pixel 3 och Pixel 4 enheter. Det är ett separat chip som ingår i både telefoner och är avsedd enbart för att behandla känsliga uppgifter och processer, som Kontrolleras Boot, på enheten disk encryption, lås skärm skydd, säkra transaktioner, och mer.
Google säger att om forskarna lyckas hitta “en fullständig kedja fjärrkörning av kod utnyttja med uthållighet” som också förvanskar data skyddas av Titan M, de är villiga att betala upp till $1 miljon till bugg hunter som finner den.
Om de utnyttjar kedjan arbetar mot en preview-version av Android OS, belöningen kan gå upp till $1,5 miljoner.
Google är villiga att ge större utbetalning för en bugg i en förhandsversion för att det tillåter företaget att fixa en bugg innan Android OS levereras till verkliga produkter.
Bolagets flytta kommer efter att tidigare i år, privata bolag som förvärvats Android utnyttjar hade ökade utbetalningar för Android buggar till $2,5 miljoner, vilket var det första gången Android buggar var värda mer än iOS bedrifter på den privata marknaden.
På den tiden, Chaouki Bekrar, VD för privata bugg förvärv program Zerodium, berättade ZDNet att hans företag fått ökade utbetalningar för Android-enheter har blivit svårare att hacka på grund av det ständiga flödet av säkerhetsfunktioner som Google har lagt till OS, tillsammans med bidrag från Samsung.
Ökade utbetalningar över hela linjen
Dagens besked kommer som Google också ökat bug bounty utbetalningar över hela linjen för hela Android Sårbarhet Rewards-Programmet (VRP).
Tills i dag, den högsta sårbarhet utbetalningen var $200,000 för “en avlägsen utnyttja kedja som leder till en TrustZone eller Kontrolleras Boot kompromiss.”
Eftersom Android VRP lansering 2015, ingen har förtjänat den här toppen belöning, och risken är låg att ingen kommer att kunna hacka Android som körs på en Titan M chip heller.
Fjärrattacker — detta arbete, utan angriparen att ha fysisk tillgång till en enhet-det är svårt att skapa, som de flesta angreppsvägar som nätverksprotokoll har varit inkopplad. Även om en angripare/forskare upptäcker en avlägsen attack, att få starta uthållighet är ett annat stort hinder att ingen har knäckt.
Google: Vi har sett två slutföra hela kedjan RCEs
“Vi har sett två slutföra hela kedjan RCEs,” en Google talesman berättade ZDNet i en intervju i går, när vi frågade hur vanligt är utsatthet rapporter för fjärrbasis fel.
“De båda kom från samma forskare. De flesta utnyttja kedjor som lämnas in är lokala snarare än avlägsen,” Googles talesman sade.
Forskaren är Guang Gong, av Alfa-Lab, Qihoo 360 Technology Co. Ltd. En av dessa två RCEs utnyttja kedjor har också hjälpt Guang årets högsta bugg belöning i och med 2019.
“Denna rapport närmare den första rapporterade 1-klicka på fjärrkörning av kod utnyttja kedja på Pixel 3 enhet,” säger Google.
“Guang Gong tilldelades $161,337 från Android Säkerhet Rewards-programmet och $40.000 av Chrome bonusprogram till ett totalt värde av $201,337,” det till.
“Det $201,337 i kombination belöning är också den högsta belöningen för en enda utnyttja kedja över alla Google VRP program.”
$500,000 för data exfiltration och förbi låsskärmen
Men förutom att införa en $1,5 miljoner i belöning för Titan M fjärr hacka och öka bugg skottpengar över hela linjen, och Google är också att lägga till en annan bugg-rapportering kategori.
OS tekokare säger att det är villig att betala upp till $500.000 för bugg rapporter där data exfiltration och lockscreen förbi, beroende på felet komplexitet.
Googles vilja att öka bug bounty utbetalningar är säkert förankrad i företagets förtroende i det faktum att Android är säker nog att inte falla be lätt att hacka.
Hursomhelst, Google har inte varit blyg och har varit ett av de företag som har de största utbetalningar på marknaden. Eftersom Android VRP lansering 2015, sade Google det betalda forskare upp till $4,5 miljoner, med en $1,5 miljoner betalades ut i de senaste 12 månaderna.
“Över 100 deltagande forskare har fått i genomsnitt belöning värde av över $3,800 per konstaterande (46% ökning från förra året). I genomsnitt, detta innebär att vi betalar ut över $15 000 (20% ökning från förra året) per forskare,” säger Google.
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 21, 2019 — 17:00 GMT (17:00 (GMT)
| Ämne: Säkerhet