Поделиться
Google пообещала $1,5 млн за взлом нового Android
Корпорация Google повысила до $1 млн вознаграждение за успешное создание эксплойтов, которые позволят обойти защиту специализированного процессора Titan M; в полтора раза больше будет заплачено тем, кто найдёт возможность обойти и защиту новых предварительных сборок ОС Android для разработчиков.
Мы заплатим много денег...
Корпорация Google объявила, что заплатить до 1-1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M для устройств на базе этой операционной системы.
От соискателей награды потребуется создать эксплойт или «полнодиапазонную цепочку» эксплойтов, которые позволят потенциальным злоумышленникам запускать на устройстве с Titan M произвольный код, и при этом вредонос сможет длительное время сохраняться на устройстве. За это Google заплатит $1 млн.
$1,5 млн обещано тем, кто создаст цепочку эксплойтов, позволяющую обойти защиту будущей версии ОС Android.
Titan M представляет собой специализированную защитную микросхему, обеспечивающую безопасность устройств - на данный момент ею снабжены Google Pixel 3 и Pixel 4. Процессор осуществляет обработку наиболее важных и конфиденциальных данных и процессов, в том числе Verified Boot (процедура доверенной загрузки), шифрование накопителей и безопасную передачу данных.
Что касается «полнодиапазонной цепочки эксплойтов», то, судя по описанию Google, речь идёт о серии программ, последовательно эксплуатирующих комбинации уязвимостей, в результате чего становится возможным запустить произвольный код и/или возможность вывести данные или обойти экран блокировки.
...Но при соблюдении некоторых условий
Реальный размер вознаграждения будет зависеть от ряда факторов, таких как наличие полноценного описания работы эксплойтов; изначальный вектор атаки; надёжность эксплойта. Размер награды также будет варирьироваться в зависимости от того, какой объём необходимого «содействия» со стороны пользователя потребуется для запуска вредоноса, насколько велики шансы пользователя обнаружить работу вредоносных программ, а также того, будет ли эксплойт или цепочка эксплойтов работать только на каком-то одном устройстве, в рамках одной версии/сборки Android или окажется эффективным сразу на множестве устройств.
Google обещает заплатить в полтора раза больше за выявление комбинаций эксплойтов, работающих на предварительных версиях Android, выпущенных специально для разработчиков.
И всё равно меньше, чем некоторые
Повышение ставок, вероятно, связано с тем, что брокеры эксплойтов вроде Zerodium с недавних пор стали предлагать огромные деньги за эксплойты, позволяющие взламывать устройства под Android и iOS.
В частности, с сентября Zerodium предлагает $2,5 млн за комбинацию эксплойтов с возможностью взлома устройств под Android без участия пользователя вообще (Zero Click) и с сохранением присутствия в системе. За аналогичные комбинации под iOS впервые предлагаются меньшие суммы - $2 млн.
«Даже увеличив теоретический размер вознаграждения, Google предлагает существенно меньше, чем Zerodium, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Это ставит Google в не самое выгодное положение: в случае реального обнаружения необходимых уязвимостей исследователи скорее обратятся в Zerodium. С другой стороны, сами по себе запредельные суммы возможного вознаграждения указывают на то, что ни в Google, ни в Zerodium особо не верят в возможность обнаружения уязвимостей, отвечающих заданным ими параметрам».
Поделиться
Короткая ссылка
