Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google давно використовує набори помилок, щоб допомогти виявити вади безпеки в своїх продуктах, перш ніж вони з'являться в атаках. Він також був одним з найбільш щедрих із виплатами за ці помилки, але остання редакція Програми за винагороду Android за безпеку переносить речі на абсолютно новий рівень. Дослідники з питань безпеки, які виявили недоліки в фірмовому мікросхемі Titan M, можуть забезпечити собі 1 мільйон доларів.

Захисний чіп Titan M дебютував у Pixel 3 близько року тому, але це був не зовсім новий дизайн. Перед мобільним чіпом Titan Google сконструював аналогічний чіп для своїх серверів. В обох випадках випадок використання схожий - Titan - це мікроконтролер низької потужності, який криптографічно перевіряє важливі компоненти системи та зберігає ваші найбільш чутливі дані окремо від основної операційної системи.

Titan M - це менша версія серверного чіпа (див. Вище), яка підтримує цілісність програмного забезпечення телефону Pixel. Ідея створення захищеного елемента на основі апаратних засобів не нова. У чіпів ARM є компонент під назвою TrustZone, який відокремлений від основної ОС, а Apple має захищений анклав на своїх мікросхемах серії A. Google Titan M - це абсолютно окремий апаратний компонент, який навіть не підключений до SoC, теоретично пропонує ще більшу безпеку. Google пішов настільки далеко, щоб зробити Titan M ключем до вашого облікового запису Google, якщо ви налаштували двофакторну автентифікацію для того, щоб пінг вашого телефону.

Це все розпадається, якщо Titan M недостатньо загартований від нападу, тому Google пропонує великі гроші за подвиги. Щоб отримати максимальну виплату, дослідник повинен забезпечити постійну експлуатацію віддаленого виконання коду з повним ланцюгом ". Це означає метод порушення безпеки Titan M без фізичного доступу до телефону таким чином, що дає зловмиснику постійний доступ. Іншими словами, найгірший сценарій. Це заробило бит на мільйон доларів, і є додатковий 50-відсотковий бонус за пошук активного подвигу в певних версіях для попереднього перегляду розробника Android. Отже, це може бути зарплата в 1,5 мільйона доларів.

Навряд чи хтось виявить таку вразливість в мікросхемі (компанія заплатила 1,5 мільйона доларів США в цьому році), але Google хоче переконатися, що вона пропонує достатньо, щоб заохотити розробників виступити. Приватні охоронні фірми також пропонують великі гроші за подвиги, а дослідники, що продають їм, означали б, що помилка не виправиться, поки не станеться щось катастрофічне.

Читати далі

Власники Google Pixel Slate повідомляють про помилку Flash Storage
Власники Google Pixel Slate повідомляють про помилку Flash Storage

Форуми підтримки продуктів Google заповнені розлюченими власниками Pixel Slate, які кажуть, що їх пристрої часто стикаються з помилками сховища.

Google вбиває безкоштовне сховище фотографій, змінюючи те, що враховується до обмежень на зберігання
Google вбиває безкоштовне сховище фотографій, змінюючи те, що враховується до обмежень на зберігання

Google оголосив про деякі суттєві зміни у Фотографіях, особливо якщо ви використовуєте послугу для автоматичного резервного копіювання.

Час оновлення: Google патчі 2 серйозні вразливості Chrome до нульового дня
Час оновлення: Google патчі 2 серйозні вразливості Chrome до нульового дня

На відміну від останніх кількох нульових днів, Google сам не знайшов цих дір у безпеці. Натомість його отримали анонімні сторонні сторони, і проблеми досить серйозні, що він не опублікував повної інформації. Досить сказати, що вам слід припинити відкладати це оновлення.

Nvidia, Google для підтримки хмарних ігор на iPhone через веб-програми
Nvidia, Google для підтримки хмарних ігор на iPhone через веб-програми

І Nvidia, і Google оголосили про підтримку iOS своїх відповідних хмарних ігрових платформ за допомогою прогресивних веб-додатків. Apple не може цього заблокувати.