per Zero-Day
| 21 novembre 2019 — 17:00 GMT (17:00 GMT)
| Argomento: Sicurezza
Immagine: Google
Google ha annunciato oggi che è disposto a servire fuori bug bounty premi in denaro fino a $1,5 milioni di euro, se i ricercatori di sicurezza di trovare e segnalare i bug nel sistema operativo Android che può anche compromettere la sua nuova Titan M chip di sicurezza.
Lanciato lo scorso anno, il Titan M chip è currenly parte di Google 3 Pixel e Pixel a 4 dispositivi. Si tratta di un chip separato incluso in entrambi i telefoni e dedicato esclusivamente al trattamento dei dati sensibili e dei processi, come Verified Boot del dispositivo di crittografia del disco, blocco dello schermo protezioni, sicurezza delle transazioni, e di più.
Google dice che se i ricercatori riescono a trovare “una catena completa esecuzione remota di codice exploit con persistenza” che compromette anche i dati protetti da Titan M, essi sono disposti a pagare fino a $1 milione per il cacciatore di bug che trova.
Se l’exploit catena lavora contro di una versione di anteprima del sistema operativo Android, la ricompensa può andare fino a $1,5 milioni.
Google è disposto a dare la più grande sovvenzione per un bug in una versione di anteprima, perché permette all’azienda di risolvere un bug prima che il sistema operativo Android è fornito di dispositivi reali.
L’azienda si è mossa arriva dopo che all’inizio di quest’anno, le imprese private, che ha acquisito Android sfrutta avuto maggiori pagamenti per Android bug di 2,5 milioni di dollari, diventando così il primo tempo Android bug sono stati la pena di più di iOS exploit sul mercato privato.
Al momento, Chaouki Bekrar, CEO di privati bug programma di acquisizione di Zerodium, ha detto a ZDNet che la sua azienda aveva aumentato i pagamenti poiché i dispositivi Android era diventato più difficile hack a causa del costante flusso di caratteristiche di sicurezza che Google ha aggiunto al sistema operativo, con il contributo di Samsung.
Maggiori pagamenti su tutta la linea
L’annuncio di oggi si presenta come Google, inoltre, è aumentato bug bounty pagamenti attraverso il bordo per tutta la Vulnerabilità di Android il Programma di Ricompense (VRP).
Fino ad oggi, la massima vulnerabilità payout è di $200.000 per “remote exploit di catena che conduce a un TrustZone o Verified Boot di compromesso”.
Dal momento che l’Android VRP di lancio di nel 2015, nessuno si è guadagnato questo premio, e le probabilità sono basse che nessuno sarà in grado di hack Android in esecuzione su un Titan M patatina fritta.
Remote exploit — che funzionano senza l’hacker di avere accesso fisico al dispositivo, sono difficili da realizzare, come la maggior parte dei vettori di attacco, come i protocolli di rete sono collegati. Anche se un utente malintenzionato/ricercatore trova un attacco remoto, guadagnando avvio di persistenza è un altro grande ostacolo che nessuno si è rotto.
Google: Abbiamo visto due completo di catena RCEs
“Abbiamo visto due completo di catena RCEs,” un portavoce di Google ha detto di ZDNet in un’intervista di ieri, quando abbiamo chiesto come comuni sono la vulnerabilità rapporti per sfruttabili da remoto bug.
“Entrambi provengono dallo stesso ricercatore. La maggior parte dei a sfruttare le catene presentati sono piuttosto locali che remote,” Google ha detto un portavoce.
Il ricercatore è Guang Gong, di Alfa Lab, Qihoo 360 Technology Co. Ltd.. Uno di questi due RCEs sfruttare catene ha anche aiutato a Guang netto più alto bug ricompensa nel 2019.
“Questo report dettagliato con il primo segnalato 1-fare clic su esecuzione di codice remoto sfruttare catena di Pixel 3 del dispositivo,” Google ha detto.
“Guang Gong è stato premiato $161,337 da la Sicurezza di Android il programma di Ricompense e $40.000 da Chrome programma di Premi per un totale di $201,337,” ha aggiunto.
“L’ $201,337 combinato premio è anche la più alta ricompensa per un singolo sfruttare a catena su tutti Google VRP programmi”.
$500.000 per i dati di esfiltrazione e lockscreen ignora
Ma oltre all’introduzione di un 1,5 milioni di dollari di ricompensa per Titan M remoto hack e aumentando il bug bounty su tutta la linea, Google è anche l’aggiunta di un altro bug reporting categoria.
Il sistema operativo maker dice che è disposto a pagare fino a $500.000 per le segnalazioni di bug che coinvolge esfiltrazione dei dati e lockscreen aggira, a seconda del bug complessità.
Google volontà di incrementare bug bounty payout è certamente radicata nella società, fiducia nel fatto che Android è abbastanza sicura di non cadere pregare facile hack.
In ogni modo, Google non ha ancora timido ed è stata una delle aziende con i pagamenti più alti sul mercato. Dal momento che l’Android VRP di lancio di nel 2015, Google ha detto che e ‘ pagato ricercatori fino a 4,5 milioni di dollari, con 1,5 milioni di dollari pagati negli ultimi 12 mesi.
“Oltre 100 partecipanti, i ricercatori hanno ricevuto una media di ricompensa importo di oltre $3,800 per la ricerca (46% di aumento rispetto allo scorso anno). In media, questo significa che abbiamo pagato più di $15,000 (20% di aumento rispetto allo scorso anno) per ricercatore,” Google ha detto.
Sicurezza
Chrome, Edge, Safari violato elite Cinese hacking contest
Migliaia di hacked Disney+ conti sono già in vendita sul forum di hacking
Sicurezza informatica si sta dirigendo in una crisi di reclutamento: Ecco come risolvere il problema
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 21 novembre 2019 — 17:00 GMT (17:00 GMT)
| Argomento: Sicurezza