谷歌如果能破解泰坦M芯片 将向漏洞追踪者支付150万美元

人工智能2020-07-24 08:30:57
导读谷歌(Google)今天宣布,如果安全研究人员发现并报告Android操作系统中的漏洞,并发现并报

谷歌(Google)今天宣布,如果安全研究人员发现并报告Android操作系统中的漏洞,并发现并报告可能会危及其新一代泰坦M安全芯片的漏洞,谷歌将提供高达150万美元的bug奖金。

土卫六M芯片去年推出,目前是谷歌像素3和Pixel 4设备的一部分。这是一个单独的芯片,包含在两部手机中,专门用于处理敏感数据和进程,如验证的引导、设备上的磁盘加密、锁定屏幕保护、安全事务等。

谷歌表示,如果研究人员能够找到“一种具有持久性的全链远程代码执行漏洞”,同时也损害了泰坦M保护的数据,他们愿意向发现它的窃听器猎人支付高达100万美元。

如果开发链对Android操作系统的预览版本有效,那么回报可能高达150万美元。

Google愿意为预览版本中的错误提供更大的支付,因为它允许公司在将Android操作系统运送到真实世界设备之前修复错误。

今年早些时候,收购Android漏洞的私人公司将Android漏洞的支出增加到250万美元,这使Android漏洞在私人市场上的价值第一次超过iOS漏洞。

当时,私人窃听器收购程序Zerodium的首席执行官Chaouki Bekrar告诉ZDNet,他的公司增加了支出,因为Android设备由于谷歌在操作系统中不断增加的安全功能以及三星的贡献而变得更难破解。

今天的声明发布之际,谷歌还全面增加了整个Android漏洞奖励计划(VRP)的bug奖励。

直到今天,最大的漏洞支出是20万美元,用于“远程攻击链导致Trustzone或验证的Boot妥协”。

自从Android VRP于2015年推出以来,没有人能获得这样的最高回报,也没有人能够攻击运行在泰坦M芯片上的Android。

远程攻击--在没有攻击者能够对设备进行物理访问的情况下工作--很难创建,因为大多数攻击载体(如网络协议)都已被插入。即使攻击者/研究人员发现了远程攻击,获得引导持久性也是没有人破解的另一个主要障碍。

“我们看到了两个完整的全链rCEs,”谷歌发言人昨天在接受zdnet采访时说,当时我们问到,可远程攻击漏洞的漏洞报告有多常见。

”“他们都来自同一个研究员。谷歌发言人说:“提交的大多数剥削链都是本地的,而不是远程的。”

研究人员是光功,来自奇虎360科技有限公司阿尔法实验室。这两家RCEs中的一家也帮助广网获得了2019年最高的漏洞奖励。

谷歌说:“这份报告详细介绍了第一个报告的Pixel 3设备上的第一个1点远程代码执行攻击链。”

“广工从Android安全奖励程序获得161,337美元,Chrome奖励程序授予40,000美元,总计201,337美元,”报告补充道。

“总计201,337美元的奖金也是谷歌所有VRP程序中单一开发链的最高回报。”

但是,除了为泰坦M远程黑客引入150万美元的奖励和全面增加bug奖励外,谷歌还增加了另一个bug报告类别。

操作系统制造商表示,根据Bug的复杂性,它愿意为涉及数据Extering和LockScreen旁路的错误报告支付多达50万美元的费用。

谷歌的增加错误奖金支付意愿的意愿肯定植根于公司对Android的信心,即Android足够安全,而不会让他们陷入容易的Hacks。

无论哪种方式,谷歌都不害羞,一直是市场上薪酬最高的公司之一。自2015年推出Android VRP以来,谷歌表示,它向研究人员支付了450万美元,仅在过去12个月就支付了150万美元。

谷歌说:“超过100名参与研究的研究人员平均每项研究获得超过3,800美元的奖励(比去年增加了46%)。这意味着我们平均每名研究员支付超过15,000美元(比去年增加20%)。”

免责声明:本文由用户上传,如有侵权请联系删除!