Google vil betale bug jægere op til $1,5 m, hvis de kan hacke sin Titan M chip

0
140

Catalin Cimpanu

Ved Catalin Cimpanu

for Nul-Dag

| November 21, 2019 — 17:00 GMT (17:00 GMT)

| Emne: Sikkerhed

Titan M

Billede: Google

Google annoncerede i dag, at det er villig til at uddele bug bounty kontant belønning på op til $1,5 millioner, hvis sikkerhed forskere finder og rapporterer fejl i Android-styresystemet, der også kan gå på kompromis sin nye Titan M security chip.

Der blev lanceret sidste år, Titan M chip er currenly en del af Google Pixel 3 og Pixel 4 enheder. Det er en separat chip, som er inkluderet på begge telefoner, og er dedikeret udelukkende til behandling af følsomme data og processer, som Kontrolleres Boot, on-device kryptering af harddisk, lås skærm beskyttelse, sikre transaktioner, og meget mere.

Google siger, at hvis forskere formår at finde “en fuld kæde fjernkørsel af programkode udnytte med vedholdenhed”, der også kompromiser data, der er beskyttet af Titan M, de er villige til at betale op til $1 million til bug hunter, der finder det.

Hvis udnytte kæden virker mod en preview-version af Android OS, den belønning, der kan gå op til $1,5 millioner.

Google er villige til at give større udbetaling for en fejl i en preview-version, fordi det giver virksomheden mulighed for at rette en fejl, før Android OS er afsendt til den virkelige verden enheder.

Selskabets træk kommer efter tidligere i år, private virksomheder, der har erhvervet Android udnytter havde øgede udbetalinger til Android bugs til $2,5 millioner, hvilket gør det den første tid, Android fejl var mere værd end iOS udnytter på det private marked.

På det tidspunkt, Chaouki Bekrar, administrerende DIREKTØR for private bug erhvervelse program Zerodium, fortalte ZDNet, at hans selskab havde øget udbetalinger, fordi Android-enheder var blevet sværere at hacke på grund af den konstante strøm af sikkerhed funktioner, som Google har føjet til OS, sammen med bidrag fra Samsung.

Øgede udbetalinger over hele linjen

Dagens meddelelse kommer, da Google også øget bug bounty udbetalinger over hele linjen for hele Android-Sårbarhed Belønninger Program (VRP).

Indtil i dag, er den maksimale sårbarhed udbetaling på $200.000 for “en ekstern udnytte kæde, der fører til en TrustZone eller Verificeret Boot kompromis.”

Siden Android VRP ‘ s lancering i 2015, ingen har fortjent denne top belønning, og chancerne er lav, at ingen vil være i stand til at hacke Android kører på Titan M chip.

Remote exploits — at arbejde uden angriber, der har fysisk adgang til en enhed-er svært at lave, da de fleste angrebsvektorer som netværk protokoller er blevet tilsluttet. Selv hvis en hacker/forsker finder en ekstern angreb, at få boot vedholdenhed er en anden store hurdle, at ingen har knækket.

Google: Vi har set to komplet full-kæde RCEs

“Vi har set to komplet full-kæde RCEs,” en Google-talsmand fortalte ZDNet i et interview i går, da vi spurgte, hvordan de mest almindelige er en svaghed rapporter for udnyttes eksternt fejl.

“De kom begge fra den samme forsker. De fleste udnytte kæder, der forelægges er lokale snarere end fjernbetjening,” Google-talsmand sagde.

Forskeren er Guang Gong, Alpha-Lab, Qihoo 360 Technology Co. Ltd.. den Ene af disse to RCEs udnytte kæder har også hjulpet Guang net højeste fejl belønning i 2019.

“Denne rapport en detaljeret beskrivelse af de først rapporterede 1-klik fjernkørsel af programkode udnytte kæde på Pixel-3 enheden,” sagde Google.

“Guang Gong blev tildelt $161,337 fra Android Sikkerhed Belønninger program og $40,000 af Chrome-Rewards-programmet for i alt $201,337,” det tilføjet.

“Den $201,337 kombineret belønning er også den højeste belønning for en enkelt udnytte chain på tværs af alle Google-VRP-programmer.”

$500.000 til data exfiltration og lockscreen omgår

Men udover at indføre en $1,5 millioner belønning for Titan M eksterne hacks og stigende bug dusører på tværs af bestyrelsen, Google er også tilføje en anden bug rapportering kategori.

OS kaffefaciliteter siger, at det er villig til at betale op til $500.000 for fejlrapporter, der omfatter data exfiltration og lockscreen omfartsveje, afhængigt af bug ‘ s kompleksitet.

Google ‘ s vilje til at øge bug bounty udbetalinger er sikkert forankret i virksomhedens selvtillid i det faktum, at Android er sikker nok til ikke at falde beder til at lette hacks.

Enten måde, Google har ikke været genert, og har været en af de virksomheder med de største udbetalinger på markedet. Siden Android VRP ‘ s lancering i 2015, Google sagde, at det betalte forskere op til $4.5 millioner, med $1,5 millioner bliver betalt inden for de seneste 12 måneder alene.

“Over 100 deltagende forskere har modtaget en gennemsnitlig belønning beløb af over $3,800 per at finde (46% stigning fra sidste år). I gennemsnit betyder dette, at vi har udbetalt mere end $15.000 (20% stigning fra sidste år) per forsker,” sagde Google.

Sikkerhed

Chrome, Edge, Safari hacket på elite Kinesisk hacking contest

Tusindvis af hackede Disney+ konti er allerede til salg på hacking fora

Cybersecurity er på vej ind i en ansættelse krise: Her er, hvordan vi løser problemet

Fastsættelse af data lækager i Jira (ZDNet YouTube)

Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)

Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)

Relaterede Emner:

Google

Sikkerhed-TV

Data Management

CXO

Datacentre

Catalin Cimpanu

Ved Catalin Cimpanu

for Nul-Dag

| November 21, 2019 — 17:00 GMT (17:00 GMT)

| Emne: Sikkerhed