Google заплатить $1,5 млн за успішний злом нових версій Android та захисного процесора Titan M
Google заплатить $1,5 млн за успішний злам нових версій Android та захисного процесора Titan M
Google підвищила до $1 млн винагороду за успішне створення експлойтів, які дозволять обійти захист спеціалізованого процесора Titan M; у півтора рази більше буде заплачено тим, хто знайде можливість обійти та захист нових попередніх складання ОС Android для розробників.
Google оголосила, що заплатить до 1,5 млн за успішний злам нових версій Android та захисного процесора Titan M для пристроїв на базі цієї операційної системи.
Від претендентів нагороди потрібно створити експлойт або «повнодіапазонний ланцюжок» експлойтів, які дозволять потенційним зловмисникам запускати на пристрої з Titan M довільний код, і при цьому шкідливість зможе тривалий час зберігатися на пристрої. За це Google заплатить $1 млн.
$1,5 млн обіцяно тим, хто створить ланцюжок експлойтів, що дозволяє обійти захист майбутньої версії ОС Android.
Titan M є спеціалізованою захисною мікросхемою, що забезпечує безпеку пристроїв - на даний момент нею забезпечені Google Pixel 3 і Pixel 4. Процесор здійснює обробку найбільш важливих і конфіденційних даних і процесів, у тому числі Verified Boot (процедура довіреного завантаження), шифрування накопичувачів та безпечну передачу даних.
Реальний розмір винагороди залежатиме від ряду факторів, таких як наявність повноцінного опису роботи експлойтів; початковий вектор атаки; надійність експлойту. Розмір нагороди також варіюватиметься в залежності від того, який обсяг необхідного «сприяння» з боку користувача буде потрібний для запуску шкідливих даних, наскільки великі шанси користувача виявити роботу шкідливих програм, а також того, буде експлойт або ланцюжок експлойтів працювати тільки на якомусь одному пристрої, в рамках однієї версії/складання Android або виявиться ефективним відразу на безлічі пристроїв.
Google обіцяє заплатити у півтора рази більше за виявлення комбінацій експлойтів, що працюють на попередніх версіях Android, випущених спеціально для розробників.
Підвищення ставок, ймовірно, пов'язане з тим, що брокери експлойтів на кшталт Zerodium з недавніх пір стали пропонувати величезні гроші за експлойти, що дозволяють зламувати пристрої під Android та iOS.
Зокрема, з вересня Zerodium пропонує $2,5 млн за комбінацію експлойтів з можливістю злому пристроїв під Android без участі користувача взагалі (Zero Click) та зі збереженням присутності в системі. За аналогічні комбінації під iOS вперше пропонують менші суми - $2 млн.