Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google пропонував 1 мільйон доларів зламати свій чіп безпеки Titan M

Google давно використовує набори помилок, щоб допомогти виявити вади безпеки в своїх продуктах, перш ніж вони з'являться в атаках. Він також був одним з найбільш щедрих із виплатами за ці помилки, але остання редакція Програми за винагороду Android за безпеку переносить речі на абсолютно новий рівень. Дослідники з питань безпеки, які виявили недоліки в фірмовому мікросхемі Titan M, можуть забезпечити собі 1 мільйон доларів.

Захисний чіп Titan M дебютував у Pixel 3 близько року тому, але це був не зовсім новий дизайн. Перед мобільним чіпом Titan Google сконструював аналогічний чіп для своїх серверів. В обох випадках випадок використання схожий - Titan - це мікроконтролер низької потужності, який криптографічно перевіряє важливі компоненти системи та зберігає ваші найбільш чутливі дані окремо від основної операційної системи.

Titan M - це менша версія серверного чіпа (див. Вище), яка підтримує цілісність програмного забезпечення телефону Pixel. Ідея створення захищеного елемента на основі апаратних засобів не нова. У чіпів ARM є компонент під назвою TrustZone, який відокремлений від основної ОС, а Apple має захищений анклав на своїх мікросхемах серії A. Google Titan M - це абсолютно окремий апаратний компонент, який навіть не підключений до SoC, теоретично пропонує ще більшу безпеку. Google пішов настільки далеко, щоб зробити Titan M ключем до вашого облікового запису Google, якщо ви налаштували двофакторну автентифікацію для того, щоб пінг вашого телефону.

Це все розпадається, якщо Titan M недостатньо загартований від нападу, тому Google пропонує великі гроші за подвиги. Щоб отримати максимальну виплату, дослідник повинен забезпечити постійну експлуатацію віддаленого виконання коду з повним ланцюгом ". Це означає метод порушення безпеки Titan M без фізичного доступу до телефону таким чином, що дає зловмиснику постійний доступ. Іншими словами, найгірший сценарій. Це заробило бит на мільйон доларів, і є додатковий 50-відсотковий бонус за пошук активного подвигу в певних версіях для попереднього перегляду розробника Android. Отже, це може бути зарплата в 1,5 мільйона доларів.

Навряд чи хтось виявить таку вразливість в мікросхемі (компанія заплатила 1,5 мільйона доларів США в цьому році), але Google хоче переконатися, що вона пропонує достатньо, щоб заохотити розробників виступити. Приватні охоронні фірми також пропонують великі гроші за подвиги, а дослідники, що продають їм, означали б, що помилка не виправиться, поки не станеться щось катастрофічне.

Читати далі

Windows 10x, ChromeBook Competitor Chromebook Microsoft, мабуть, пізніше цього року
Windows 10x, ChromeBook Competitor Chromebook Microsoft, мабуть, пізніше цього року

Windows 10x, як повідомляється, відправляється на системи в H2 2021. Спочатку призначений для конкуренції як варіант високого класу для преміум-пристроїв, Windows 10x тепер призначений для освітніх ринків, де нещодавно Chromebook нещодавно зробили величезні кроки.

NVIDIA RTX ADA Titan Витоки демонструють квадрому роздуму, подвійні 16-контактні роз'єми
NVIDIA RTX ADA Titan Витоки демонструють квадрому роздуму, подвійні 16-контактні роз'єми

Цей GPU міг би в кінцевому підсумку коштувати 3000 доларів або більше, але, ймовірно, ніколи не буде запущено.

Titan V Nvidia звинувачують у поверненні помилкових відповідей у ​​симуляціях
Titan V Nvidia звинувачують у поверненні помилкових відповідей у ​​симуляціях

Титан V Nvidia може повернути неправильні відповіді в деяких типах моделювання HPC, але ситуація наразі не зрозуміла.

Інфрачервоні камери Cassini дали нам найкращий вид на Titan Ever
Інфрачервоні камери Cassini дали нам найкращий вид на Titan Ever

NASA тільки що випустив самі вражаючі та чудові знімки Титану ще - і перший по-справжньому здивувався під муткою вуглеводневою імлою на планеті.