Спецпроекты

Google пообещала $1,5 млн за взлом нового Android

Безопасность Стратегия безопасности Пользователю Техника

Корпорация Google повысила до $1 млн вознаграждение за успешное создание эксплойтов, которые позволят обойти защиту специализированного процессора Titan M; в полтора раза больше будет заплачено тем, кто найдёт возможность обойти и защиту новых предварительных сборок ОС Android для разработчиков.

Мы заплатим много денег...

Корпорация Google объявила, что заплатить до 1-1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M для устройств на базе этой операционной системы.

От соискателей награды потребуется создать эксплойт или «полнодиапазонную цепочку» эксплойтов, которые позволят потенциальным злоумышленникам запускать на устройстве с Titan M произвольный код, и при этом вредонос сможет длительное время сохраняться на устройстве. За это Google заплатит $1 млн.

$1,5 млн обещано тем, кто создаст цепочку эксплойтов, позволяющую обойти защиту будущей версии ОС Android.

Titan M представляет собой специализированную защитную микросхему, обеспечивающую безопасность устройств - на данный момент ею снабжены Google Pixel 3 и Pixel 4. Процессор осуществляет обработку наиболее важных и конфиденциальных данных и процессов, в том числе Verified Boot (процедура доверенной загрузки), шифрование накопителей и безопасную передачу данных.

androidexploit600.jpg
Google заплатит до $1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M, но это меньше, чем предлагают брокеры эксплоитов

Что касается «полнодиапазонной цепочки эксплойтов», то, судя по описанию Google, речь идёт о серии программ, последовательно эксплуатирующих комбинации уязвимостей, в результате чего становится возможным запустить произвольный код и/или возможность вывести данные или обойти экран блокировки.

...Но при соблюдении некоторых условий

Реальный размер вознаграждения будет зависеть от ряда факторов, таких как наличие полноценного описания работы эксплойтов; изначальный вектор атаки; надёжность эксплойта. Размер награды также будет варирьироваться в зависимости от того, какой объём необходимого «содействия» со стороны пользователя потребуется для запуска вредоноса, насколько велики шансы пользователя обнаружить работу вредоносных программ, а также того, будет ли эксплойт или цепочка эксплойтов работать только на каком-то одном устройстве, в рамках одной версии/сборки Android или окажется эффективным сразу на множестве устройств.

Google обещает заплатить в полтора раза больше за выявление комбинаций эксплойтов, работающих на предварительных версиях Android, выпущенных специально для разработчиков.

И всё равно меньше, чем некоторые

Повышение ставок, вероятно, связано с тем, что брокеры эксплойтов вроде Zerodium с недавних пор стали предлагать огромные деньги за эксплойты, позволяющие взламывать устройства под Android и iOS.

В частности, с сентября Zerodium предлагает $2,5 млн за комбинацию эксплойтов с возможностью взлома устройств под Android без участия пользователя вообще (Zero Click) и с сохранением присутствия в системе. За аналогичные комбинации под iOS впервые предлагаются меньшие суммы - $2 млн.

«Даже увеличив теоретический размер вознаграждения, Google предлагает существенно меньше, чем Zerodium, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Это ставит Google в не самое выгодное положение: в случае реального обнаружения необходимых уязвимостей исследователи скорее обратятся в Zerodium. С другой стороны, сами по себе запредельные суммы возможного вознаграждения указывают на то, что ни в Google, ни в Zerodium особо не верят в возможность обнаружения уязвимостей, отвечающих заданным ими параметрам».



Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS

Взгляд месяца

На хайпе часто можно построить только фейк

Сергей Мацоцкий

основатель и член совета директоров IBS