Google предлагает $ 1 миллион для взлома чипа безопасности Titan M

Google предлагает $ 1 миллион для взлома чипа безопасности Titan M

Google уже давно использует количество ошибок, чтобы помочь выявить недостатки безопасности в своих продуктах до того, как они появятся в атаках. Он также был одним из самых щедрых с выплатами за эти ошибки, но его последняя версия Программы вознаграждений за безопасность Android выводит вещи на совершенно новый уровень. Исследователи в области безопасности, обнаружившие изъяны в чипе безопасности Titan M компании, могут заработать до 1 миллиона долларов.

Чип безопасности Titan M дебютировал в Pixel 3 около года назад, но это был не совсем новый дизайн. До появления мобильного чипа Titan компания Google разработала аналогичный чип для своих серверов. В обоих случаях сценарий использования аналогичен - Titan - это микроконтроллер с низким энергопотреблением, который криптографически проверяет важные компоненты системы и хранит ваши самые важные данные отдельно от основной операционной системы.

Titan M - это уменьшенная версия серверного чипа (см. Выше), который поддерживает целостность программного обеспечения телефона Pixel. Идея иметь аппаратный защищенный элемент не нова. Чипы ARM имеют компонент под названием TrustZone, который отделен от основной ОС, и Apple имеет защищенный анклав на своих чипах серии A. Google Titan M - это совершенно отдельный аппаратный компонент, который даже не подключен к SoC, теоретически предлагая еще большую безопасность. Google зашел настолько далеко, что сделал Titan M ключом к вашей учетной записи Google, при условии, что вы настроили двухфакторную аутентификацию для проверки связи с вашим телефоном.

Все это разваливается, если Titan M недостаточно защищен от атак, поэтому Google предлагает большие деньги за эксплойты. Чтобы получить максимальную отдачу, исследователь должен предоставить «эксплойт с полной цепью удаленного выполнения кода с постоянством». Это означает метод нарушения безопасности Titan M без физического доступа к телефону таким образом, который дает злоумышленнику постоянный доступ. Другими словами, наихудший сценарий. Это заработало бы 1 миллион долларов, и есть дополнительный 50-процентный бонус за поиск активного эксплойта в конкретных версиях Android для разработчиков. Таким образом, это может быть зарплата в 1,5 миллиона долларов.

Маловероятно, что кто-то обнаружит такую уязвимость в чипе (компания выплатила в этом году 1,5 миллиона долларов), но Google хочет убедиться, что он предлагает достаточно, чтобы поощрить разработчиков выйти вперед. Частные охранные фирмы также предлагают большие деньги за эксплойты, и продавцы, продающие их, будут означать, что ошибка не будет исправлена, пока не произойдет что-то катастрофическое.

Читать далее

Образец астероида НАСА OSIRIS-REx просачивается в космос
Образец астероида НАСА OSIRIS-REx просачивается в космос

НАСА сообщает, что зонд захватил с астероида столько реголита, что он вытекает из коллектора. Команда сейчас работает, чтобы определить, как лучше всего удержать драгоценный груз от побега.

Chromebook увеличивает долю рынка по мере перехода образования в Интернет
Chromebook увеличивает долю рынка по мере перехода образования в Интернет

Продажи Chromebook резко выросли из-за пандемии: продажи выросли на 90 процентов, и ожидается рост в будущем. Это создает некоторые проблемы для таких компаний, как Microsoft.

Ученые подтверждают наличие воды на Луне
Ученые подтверждают наличие воды на Луне

Ученые подтвердили открытие молекулярной воды на Луне. Есть ли это в форме, которую мы можем использовать? Это менее ясно.

AMD покупает разработчика FPGA Xilinx за 35 миллиардов долларов
AMD покупает разработчика FPGA Xilinx за 35 миллиардов долларов

Сделка, которую мы обсуждали ранее в этом месяце, предоставит AMD доступ к новым рынкам, на которых она ранее не играла, включая FPGA и искусственный интеллект.