A Google egymillió dollárt ajánl fel Titan M biztonsági chipjének feltörésére

A Google már régóta használja a hibajátékokat, hogy feltárja termékeinek biztonsági hibáit, mielőtt azok támadásként megjelennek. Ez a hiba a legbőkezűbbek között volt, de a Android Security Rewards Program teljesen új szintre emeli a dolgokat. Azok a biztonsági kutatók, akik hibát találnak a vállalat Titan M biztonsági chipjében, akár egymillió dollárt is magukba köthetnek.

A Titan M biztonsági chip körülbelül egy éve debütált a Pixel 3-ban, de nem volt teljesen új design. A mobil Titan chip előtt a Google hasonló chipet tervezett a szervereihez. Mindkét esetben a felhasználási eset hasonló - a Titan egy alacsony fogyasztású mikrovezérlő, amely kriptográfiailag ellenőrzi a rendszer fontos alkotóelemeit, és a legérzékenyebb adatait elkülöníti a fő operációs rendszertől.

A Titan M a szerver chip kisebb verziója (lásd fent), amely fenntartja a Pixel telefon szoftverének integritását. A hardver-alapú biztonságos elem ötlete nem új keletű. Az ARM chipeknek van egy TrustZone nevű összetevője, amely elkülönül a fő operációs rendszertől, az Apple pedig biztonságos enklávéval rendelkezik az A sorozatú chipjein. A Google Titan M egy teljesen különálló hardverkomponens, amely nem is csatlakozik a SoC-hez, elméletileg még nagyobb biztonságot kínál. A Google odáig jutott, hogy a Titan M-et a kulcsot a Google-fiókjához, feltéve, hogy konfigurálja a kétfaktoros hitelesítést a telefon pingeléséhez.



Ez mind szétesik, ha a Titan M nincs eléggé megedzve a támadásoktól, ezért a Google nagy dollárokat kínál a kihasználásokért. A maximális kifizetés elérése érdekében a kutatónak biztosítania kell egy „teljes láncú távoli kódfuttatási kitartást kitartással”. Ez azt jelenti, hogy a telefon fizikai hozzáférése nélkül megsértik a Titan M biztonságát úgy, hogy a támadónak állandó hozzáférést biztosítanak. Más szavakkal, a legrosszabb eset. Ez egymillió dollárt keresne, és további 50 százalékos bónusz jár az aktív fejlesztés megtalálásáért az Android speciális fejlesztői előnézeti verzióiban. Tehát ez 1,5 millió dolláros fizetésnap lehet.

Nem valószínű, hogy bárki felfedezne egy ilyen sebezhetőséget a chipben (a cég összesen 1,5 millió dollárt fizetett ki ebben az évben), de a Google meg akar győződni arról, hogy ez elegendő ajánlatot kínál-e a fejlesztők jelentkezésére. A magán biztonsági cégek szintén nagy pénzeket kínálnak a kizsákmányolásért, és a nekik áruló kutatók azt jelentenék, hogy a hiba nem javul meg, amíg valami katasztrofális dolog nem történik.

Copyright © Minden Jog Fenntartva | 2007es.com