Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google давно використовує набори помилок, щоб допомогти виявити вади безпеки в своїх продуктах, перш ніж вони з'являться в атаках. Він також був одним з найбільш щедрих із виплатами за ці помилки, але остання редакція Програми за винагороду Android за безпеку переносить речі на абсолютно новий рівень. Дослідники з питань безпеки, які виявили недоліки в фірмовому мікросхемі Titan M, можуть забезпечити собі 1 мільйон доларів.

Захисний чіп Titan M дебютував у Pixel 3 близько року тому, але це був не зовсім новий дизайн. Перед мобільним чіпом Titan Google сконструював аналогічний чіп для своїх серверів. В обох випадках випадок використання схожий - Titan - це мікроконтролер низької потужності, який криптографічно перевіряє важливі компоненти системи та зберігає ваші найбільш чутливі дані окремо від основної операційної системи.

Titan M - це менша версія серверного чіпа (див. Вище), яка підтримує цілісність програмного забезпечення телефону Pixel. Ідея створення захищеного елемента на основі апаратних засобів не нова. У чіпів ARM є компонент під назвою TrustZone, який відокремлений від основної ОС, а Apple має захищений анклав на своїх мікросхемах серії A. Google Titan M - це абсолютно окремий апаратний компонент, який навіть не підключений до SoC, теоретично пропонує ще більшу безпеку. Google пішов настільки далеко, щоб зробити Titan M ключем до вашого облікового запису Google, якщо ви налаштували двофакторну автентифікацію для того, щоб пінг вашого телефону.

Це все розпадається, якщо Titan M недостатньо загартований від нападу, тому Google пропонує великі гроші за подвиги. Щоб отримати максимальну виплату, дослідник повинен забезпечити постійну експлуатацію віддаленого виконання коду з повним ланцюгом ". Це означає метод порушення безпеки Titan M без фізичного доступу до телефону таким чином, що дає зловмиснику постійний доступ. Іншими словами, найгірший сценарій. Це заробило бит на мільйон доларів, і є додатковий 50-відсотковий бонус за пошук активного подвигу в певних версіях для попереднього перегляду розробника Android. Отже, це може бути зарплата в 1,5 мільйона доларів.

Навряд чи хтось виявить таку вразливість в мікросхемі (компанія заплатила 1,5 мільйона доларів США в цьому році), але Google хоче переконатися, що вона пропонує достатньо, щоб заохотити розробників виступити. Приватні охоронні фірми також пропонують великі гроші за подвиги, а дослідники, що продають їм, означали б, що помилка не виправиться, поки не станеться щось катастрофічне.

Читати далі

Chromebook отримують частку ринку, оскільки освіта переходить в Інтернет
Chromebook отримують частку ринку, оскільки освіта переходить в Інтернет

Продажі Chromebook зросли в пандемії, продажі зросли на 90 відсотків, і очікується майбутнє зростання. Це ставить певні виклики для таких компаній, як Microsoft.

Захистіть свою конфіденційність в Інтернеті за допомогою 5 найкращих мереж VPN
Захистіть свою конфіденційність в Інтернеті за допомогою 5 найкращих мереж VPN

Зараз інвестування в VPN - це розумний вибір, але можливостей величезна. Щоб трохи звузити ситуацію, ми зібрали п’ять наших улюблених споживчих послуг.

Серія Xbox S обмежена завдяки своїй ємності для зберігання
Серія Xbox S обмежена завдяки своїй ємності для зберігання

Xbox Series S був прийнятий здебільшого прихильно, але низький обсяг пам’яті консолі робить Xbox Series X кращим значенням для багатьох людей.

Місяць Європи Юпітера може світитися в темряві
Місяць Європи Юпітера може світитися в темряві

Сильне радіаційне бомбардування Європи може змусити її світитися в темряві, і це може допомогти вченим дізнатися більше про крижані покриви Місяця та океан нижче.