گوگل برای نفوذ از راه دور به تراشه‌ی Titan M تا ۱.۵ میلیون دلار پاداش می‌دهد

گوگل با آخرین اطلاعیه‌ی خود در مورد افزایش پاداش در ازای اشکال برای یافتن و گزارش آسیب‌پذیری‌های بحرانی در سیستم عامل اندروید، رقابت چالش‌برانگیز جدیدی برای نفوذگران راه‌اندازی کرده که می‌توانند در این رقابت یک پاداش ۱٫۵ میلیون دلاری برنده شوند. این غول فناوری در پست وبلاگی خود اعلام کرد که از تاریخ ۲۲ نوامبر گوگل برای یک بهره‌برداری اجرای کد از راه دور زنجیره‌ی کامل که عنصر امن Titan M را در دستگاه‌های پیکسل در معرض خطر قرار می‌دهد، یک میلیون دلار پاداش خواهد داد.

علاوه‌برآن، اگر کسی موفق شود در نسخه‌های پیش‌نمایش توسعه‌دهنده‌ی اندروید به همین هدف برسد، گوگل ۵۰۰ هزار دلار دیگر به او پاداش می‌دهد که در مجموع ۱٫۵ میلیون دلار می‌شود که ۷٫۵ برابر بیشترین پاداش اندروید در گذشته است.

عنصر امن Titan M گوگل که سال گذشته در گوشی‌های هوشمند Pixel 3 معرفی شد، یک تراشه‌ی امنیتی اختصاصی است که در کنار پردازنده‌ی اصلی قرار می‌گیرد و در اصل برای محافظت از دستگاه‌ها در برابر حملات زمان راه‌اندازی دستگاه طراحی شده است. به عبارت دیگر، تراشه‌ی Titan M یک مؤلفه‌ی سخت‌افزاری مجزا برای Android Verified Boot است که از اطلاعات حساس، تأیید رمز عبور قفل صفحه، سیاست‌های بازنشانی تنظیمات کارخانه، کلیدهای خصوصی محافظت می‌کند و همچنین رابط برنامه‌نویسی امنی برای عملیات مهم مانند پرداخت و تراکنش‌های برنامه‌ها ارائه می‌دهد.

با توجه به این مسأله، معمولاً پیدا کردن یک زنجیره‌ی بهره‌برداری اجرای کد از راه دور با یک کلیک در دستگاه‌های pixel 3 و pixel 4 کار سختی است و تاکنون تنها یک پژوهش‌گر امنیت سایبری به نام گوانگ گونگ از Qihoo 360 موفق به انجام این کار شده است.

گوگل بیان کرد که ۱۶۱٬۳۳۷ دلار از برنامه‌ی Android Security Rewards و ۴۰ هزار دلار از برنامه‌ی Chrome Rewards به گوانگ گونگ پاداش داده شده که در مجموع پاداش‌های او ۲۰۱٬۳۳۷ دلار رسیده است. ۲۰۱٬۳۳۷ دلار پاداش بیشترین پاداش برای یک زنجیره‌ی بهره‌برداری در همه‌ی برنامه‌های Google VRP بوده است.

علاوه‌برآن، گوگل بیان کرد که این شرکت در سال ۲۰۱۹ میلادی در مجموع ۱٫۵ میلیون دلار به عنوان بخشی از برنامه‌ی پاداش در ازای اشکال خود پرداخت کرده است که پاداش هر پژوهش‌گر امنیتی به‌طور متوسط ۱۵ هزار دلار بوده است.

گوگل علاوه‌بر بهره‌برداری‌های اجرای کد از راه دور Pixel Titan M دو نوع بهره‌برداری جدید را در برنامه‌ی پاداش در ازای اشکال خود معرفی کرده است که شامل آسیب‌پذیری‌های استخراج داده و دور زدن قفل صفحه می‌شود و بسته به نوع بهره‌برداری تا ۵۰۰ هزار دلار پاداش خواهد داد. گوگل برنامه‌ی پاداش در ازای اشکال اندروید را دو ماه پس از آن‌که شرکت Zerodium اعلام کرد که می‌خواهد برای آسیب‌پذیری‌های روز-صفرم زنجیره‌ی کامل و بدون کلیک اندروید تا ۲٫۵ میلیون دلار پاداش دهد، راه‌اندازی کرد.

منبع

پست‌های مشابه

Leave a Comment

3 × 3 =