GOOGLE – compania oferă recompense de până la 1,5 milioane de dolari pentru hacking-ul de la distanță a cipului Titan M

GOOGLE – compania oferă recompense de până la 1,5 milioane de dolari pentru hacking-ul de la distanță a cipului Titan M

În ultimul său anunț privind creșterea recompenselor pentru identificarea și raportarea vulnerabilităților critice în sistemul de operare Android, compania Google a setat, zilele trecute, un nou nivel provocator pentru hackeri, care le oferă posibilitatea de a câștiga o sumă de până la 1,5 milioane de dolari.

Începând de săptămâna trecută, Google va plăti un milion de dolari pentru o exploatare completă a codului de execuție de la distanță, care compromite elementul securizat Titan M pe dispozitivele Pixel.  Mai mult decât atât, dacă cineva reușește să obțină același lucru în versiunile de previzualizare ale dezvoltatorilor de Android, Google va plăti 500.000 dolari americani suplimentari, ceea ce va însuma un total de 1,5 milioane de dolari – adică de 7,5 ori mai mult decât recompensele anterioare de top Android.

Expus pentru prima oară în timpul prezentării smartphone-urilor Pixel 3 anul trecut, elementul securizat Google M Titan este un cip dedicat securității care se află lângă procesorul principal, conceput în principal pentru a proteja dispozitivele împotriva atacurilor de pornire. Cu alte cuvinte, cipul Titan M este o componentă hardware separată de Android Verified Boot care are grijă și de datele sensibile, verificarea parolei aferente ecranului de blocare, politicile de resetare din fabrică, cheile private și oferă, de asemenea, API sigur pentru operațiuni critice precum sunt plățile și aplicațiile de tranzacții.

Luând în considerare acest lucru, este deseori dificil să se găsească un lanț de exploatare a codului de execuție de la distanță printr-un singur clic pe dispozitivele Pixel 3 și 4 și, până în prezent, un singur cercetător în domeniul cibersecurității, Guang Gong din Qihoo 360, a reușit să facă acest lucru.

Potrivit Google, Guang Gong a primit 161.337 de dolari americani prin programul Android Security Rewards și 40.000 de dolari americani oferiți de către programul Chrome Rewards, obținând un total de 201.337 de dolari.

Recompensa combinată de 201.337 USD este, de asemenea, cea mai mare sumă acordată pentru un singur lanț de exploatare din toate programele Google VRP. Mai mult, Google a specificat faptul că organizația a plătit un total de 1,5 milioane de dolari americani în 2019, ca parte a programului său de recompensare a erorilor, cu o sumă medie de peste 15.000 de dolari americani pe cercetător în domeniul securității.

În plus, față de exploatările RCE pentru Pixel Titan M, Google a introdus și două noi categorii de exploatări în programul său de recompense – exfiltrare de date și vulnerabilități lockscreen bypass – care vor fi recompensate cu sume ce ajung până la 500.000 de dolari americani, în funcție de categoria de exploatare.

Programul extins de recompense Android dezvoltat de Google a luat ființă la două luni după ce vânzătorul terț de exploatare Zerodium a anunțat că va plăti până la 2,5 milioane de dolari americani pentru atacuri pe sistemul de operare Android de tip zero-day, full chain, zero-click, with persistence, care a subliniat o creștere directă de 12x față de prețul său anterior de 200.000 dolari americani.

No Comments

Post a Comment

Comment
Name
Email
Website