Google предлагает $ 1 миллион для взлома чипа безопасности Titan M

Google предлагает $ 1 миллион для взлома чипа безопасности Titan M

Google уже давно использует количество ошибок, чтобы помочь выявить недостатки безопасности в своих продуктах до того, как они появятся в атаках. Он также был одним из самых щедрых с выплатами за эти ошибки, но его последняя версия Программы вознаграждений за безопасность Android выводит вещи на совершенно новый уровень. Исследователи в области безопасности, обнаружившие изъяны в чипе безопасности Titan M компании, могут заработать до 1 миллиона долларов.

Чип безопасности Titan M дебютировал в Pixel 3 около года назад, но это был не совсем новый дизайн. До появления мобильного чипа Titan компания Google разработала аналогичный чип для своих серверов. В обоих случаях сценарий использования аналогичен - Titan - это микроконтроллер с низким энергопотреблением, который криптографически проверяет важные компоненты системы и хранит ваши самые важные данные отдельно от основной операционной системы.

Titan M - это уменьшенная версия серверного чипа (см. Выше), который поддерживает целостность программного обеспечения телефона Pixel. Идея иметь аппаратный защищенный элемент не нова. Чипы ARM имеют компонент под названием TrustZone, который отделен от основной ОС, и Apple имеет защищенный анклав на своих чипах серии A. Google Titan M - это совершенно отдельный аппаратный компонент, который даже не подключен к SoC, теоретически предлагая еще большую безопасность. Google зашел настолько далеко, что сделал Titan M ключом к вашей учетной записи Google, при условии, что вы настроили двухфакторную аутентификацию для проверки связи с вашим телефоном.

Все это разваливается, если Titan M недостаточно защищен от атак, поэтому Google предлагает большие деньги за эксплойты. Чтобы получить максимальную отдачу, исследователь должен предоставить «эксплойт с полной цепью удаленного выполнения кода с постоянством». Это означает метод нарушения безопасности Titan M без физического доступа к телефону таким образом, который дает злоумышленнику постоянный доступ. Другими словами, наихудший сценарий. Это заработало бы 1 миллион долларов, и есть дополнительный 50-процентный бонус за поиск активного эксплойта в конкретных версиях Android для разработчиков. Таким образом, это может быть зарплата в 1,5 миллиона долларов.

Маловероятно, что кто-то обнаружит такую уязвимость в чипе (компания выплатила в этом году 1,5 миллиона долларов), но Google хочет убедиться, что он предлагает достаточно, чтобы поощрить разработчиков выйти вперед. Частные охранные фирмы также предлагают большие деньги за эксплойты, и продавцы, продающие их, будут означать, что ошибка не будет исправлена, пока не произойдет что-то катастрофическое.

Читать далее

Cyberpunk 2077: CDPR «приносит извинения» за выпуск неработающей игры и предлагает возврат средств
Cyberpunk 2077: CDPR «приносит извинения» за выпуск неработающей игры и предлагает возврат средств

Версия Cyberpunk 2077 для PS4 и Xbox One S настолько плохая, что теперь компания предлагает возмещение. Мы рекомендуем консольным игрокам последнего поколения заняться им, а не ждать.

Sony продает Cyberpunk 2077 и предлагает возмещение; CDPR ввел в заблуждение инвесторов в октябре
Sony продает Cyberpunk 2077 и предлагает возмещение; CDPR ввел в заблуждение инвесторов в октябре

Sony объявила, что уберет Cyberpunk 2077 из PlayStation Store и вернет деньги всем, кто этого захочет. Между тем события прошлой недели доказали, что CD Projekt Red ввела инвесторов в заблуждение относительно состояния игры, когда объявила о последней трехнедельной отсрочке в октябре 2020 года.

Новая плата Beagle Board предлагает двухъядерный RISC-V, предназначенный для приложений AI
Новая плата Beagle Board предлагает двухъядерный RISC-V, предназначенный для приложений AI

Бюджетное оборудование RISC-V уже на подходе, и оно намного более доступно, чем все, что мы видели в прошлом, с достаточной мощностью процессора, чтобы любитель мог бы что-то с ним сделать. Более поздние модели могут конкурировать с такими чипами, как Raspberry Pi, хотя, вероятно, по более высокой цене.

В просочившейся записке LG предлагает уйти с рынка смартфонов
В просочившейся записке LG предлагает уйти с рынка смартфонов

В служебной записке, распространенной в LG, говорится, что после 4,5 миллиардов долларов убытков за последние пять лет необходимо принять несколько трудных решений. В меморандуме перечислены несколько возможных вариантов действий, в том числе прекращение мобильного бизнеса LG.