Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google давно використовує набори помилок, щоб допомогти виявити вади безпеки в своїх продуктах, перш ніж вони з'являться в атаках. Він також був одним з найбільш щедрих із виплатами за ці помилки, але остання редакція Програми за винагороду Android за безпеку переносить речі на абсолютно новий рівень. Дослідники з питань безпеки, які виявили недоліки в фірмовому мікросхемі Titan M, можуть забезпечити собі 1 мільйон доларів.

Захисний чіп Titan M дебютував у Pixel 3 близько року тому, але це був не зовсім новий дизайн. Перед мобільним чіпом Titan Google сконструював аналогічний чіп для своїх серверів. В обох випадках випадок використання схожий - Titan - це мікроконтролер низької потужності, який криптографічно перевіряє важливі компоненти системи та зберігає ваші найбільш чутливі дані окремо від основної операційної системи.

Titan M - це менша версія серверного чіпа (див. Вище), яка підтримує цілісність програмного забезпечення телефону Pixel. Ідея створення захищеного елемента на основі апаратних засобів не нова. У чіпів ARM є компонент під назвою TrustZone, який відокремлений від основної ОС, а Apple має захищений анклав на своїх мікросхемах серії A. Google Titan M - це абсолютно окремий апаратний компонент, який навіть не підключений до SoC, теоретично пропонує ще більшу безпеку. Google пішов настільки далеко, щоб зробити Titan M ключем до вашого облікового запису Google, якщо ви налаштували двофакторну автентифікацію для того, щоб пінг вашого телефону.

Це все розпадається, якщо Titan M недостатньо загартований від нападу, тому Google пропонує великі гроші за подвиги. Щоб отримати максимальну виплату, дослідник повинен забезпечити постійну експлуатацію віддаленого виконання коду з повним ланцюгом ". Це означає метод порушення безпеки Titan M без фізичного доступу до телефону таким чином, що дає зловмиснику постійний доступ. Іншими словами, найгірший сценарій. Це заробило бит на мільйон доларів, і є додатковий 50-відсотковий бонус за пошук активного подвигу в певних версіях для попереднього перегляду розробника Android. Отже, це може бути зарплата в 1,5 мільйона доларів.

Навряд чи хтось виявить таку вразливість в мікросхемі (компанія заплатила 1,5 мільйона доларів США в цьому році), але Google хоче переконатися, що вона пропонує достатньо, щоб заохотити розробників виступити. Приватні охоронні фірми також пропонують великі гроші за подвиги, а дослідники, що продають їм, означали б, що помилка не виправиться, поки не станеться щось катастрофічне.

Читати далі

Apple знижує наполовину плату для розробників App Store, які заробляють менше 1 мільйона доларів
Apple знижує наполовину плату для розробників App Store, які заробляють менше 1 мільйона доларів

Надалі звичайне скорочення продажів на платформі iOS на 30 відсотків від Apple знизиться до 15 відсотків для невеликих розробників. Однак Epic стверджує, що це лише спроба розколоти спільноту розробників.

Все ще існує 100 мільйонів ПК під управлінням Windows 7
Все ще існує 100 мільйонів ПК під управлінням Windows 7

Минулого року корпорація Майкрософт офіційно припинила підтримку оновлення для Windows 7, але мільйони ПК все ще працюють із цим програмним забезпеченням у минулому. За словами давнього репортера Microsoft Еда Ботта, це число, мабуть, на північ від 100 мільйонів на рік після закінчення підтримки.

Продаж комутаторів Nintendo минув 3DS, перетинання тварин переміщує 31 мільйон копій
Продаж комутаторів Nintendo минув 3DS, перетинання тварин переміщує 31 мільйон копій

У Nintendo Switch був абсолютно казковий рік, як і в його бібліотеці програмного забезпечення.

Google Slashes Комісія Play Store для розробників, які заробляють менше 1 мільйона доларів
Google Slashes Комісія Play Store для розробників, які заробляють менше 1 мільйона доларів

Google послідував лідерам Apple, оголосивши про новий, нижчий розподіл доходів на всі прибутки менше 1 мільйона доларів на рік. Замість того, щоб платити 30 відсотків кожного продажу, розробники цієї категорії платять лише 15 відсотків.