Google заплатит $1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M
Google заплатит $1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M
Google повысила до $1 млн вознаграждение за успешное создание эксплойтов, которые позволят обойти защиту специализированного процессора Titan M; в полтора раза больше будет заплачено тем, кто найдёт возможность обойти и защиту новых предварительных сборок ОС Android для разработчиков.
Google объявила, что заплатит до 1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M для устройств на базе этой операционной системы.
От соискателей награды потребуется создать эксплойт или «полнодиапазонную цепочку» эксплойтов, которые позволят потенциальным злоумышленникам запускать на устройстве с Titan M произвольный код, и при этом вредонос сможет длительное время сохраняться на устройстве. За это Google заплатит $1 млн.
$1,5 млн обещано тем, кто создаст цепочку эксплойтов, позволяющую обойти защиту будущей версии ОС Android.
Titan M представляет собой специализированную защитную микросхему, обеспечивающую безопасность устройств - на данный момент ею снабжены Google Pixel 3 и Pixel 4. Процессор осуществляет обработку наиболее важных и конфиденциальных данных и процессов, в том числе Verified Boot (процедура доверенной загрузки), шифрование накопителей и безопасную передачу данных.
Реальный размер вознаграждения будет зависеть от ряда факторов, таких как наличие полноценного описания работы эксплойтов; изначальный вектор атаки; надёжность эксплойта. Размер награды также будет варирьироваться в зависимости от того, какой объём необходимого «содействия» со стороны пользователя потребуется для запуска вредоноса, насколько велики шансы пользователя обнаружить работу вредоносных программ, а также того, будет ли эксплойт или цепочка эксплойтов работать только на каком-то одном устройстве, в рамках одной версии/сборки Android или окажется эффективным сразу на множестве устройств.
Google обещает заплатить в полтора раза больше за выявление комбинаций эксплойтов, работающих на предварительных версиях Android, выпущенных специально для разработчиков.
Повышение ставок, вероятно, связано с тем, что брокеры эксплойтов вроде Zerodium с недавних пор стали предлагать огромные деньги за эксплойты, позволяющие взламывать устройства под Android и iOS.
В частности, с сентября Zerodium предлагает $2,5 млн за комбинацию эксплойтов с возможностью взлома устройств под Android без участия пользователя вообще (Zero Click) и с сохранением присутствия в системе. За аналогичные комбинации под iOS впервые предлагаются меньшие суммы - $2 млн.
