گوگل با آخرین اطلاعیهی خود در مورد افزایش پاداش در ازای اشکال برای یافتن و گزارش آسیبپذیریهای بحرانی در سیستم عامل اندروید، رقابت چالشبرانگیز جدیدی برای نفوذگران راهاندازی کرده که میتوانند در این رقابت یک پاداش ۱٫۵ میلیون دلاری برنده شوند. این غول فناوری در پست وبلاگی خود اعلام کرد که از تاریخ ۲۲ نوامبر گوگل برای یک بهرهبرداری اجرای کد از راه دور زنجیرهی کامل که عنصر امن Titan M را در دستگاههای پیکسل در معرض خطر قرار میدهد، یک میلیون دلار پاداش خواهد داد.
علاوهبرآن، اگر کسی موفق شود در نسخههای پیشنمایش توسعهدهندهی اندروید به همین هدف برسد، گوگل ۵۰۰ هزار دلار دیگر به او پاداش میدهد که در مجموع ۱٫۵ میلیون دلار میشود که ۷٫۵ برابر بیشترین پاداش اندروید در گذشته است.
عنصر امن Titan M گوگل که سال گذشته در گوشیهای هوشمند Pixel 3 معرفی شد، یک تراشهی امنیتی اختصاصی است که در کنار پردازندهی اصلی قرار میگیرد و در اصل برای محافظت از دستگاهها در برابر حملات زمان راهاندازی دستگاه طراحی شده است. به عبارت دیگر، تراشهی Titan M یک مؤلفهی سختافزاری مجزا برای Android Verified Boot است که از اطلاعات حساس، تأیید رمز عبور قفل صفحه، سیاستهای بازنشانی تنظیمات کارخانه، کلیدهای خصوصی محافظت میکند و همچنین رابط برنامهنویسی امنی برای عملیات مهم مانند پرداخت و تراکنشهای برنامهها ارائه میدهد.
با توجه به این مسأله، معمولاً پیدا کردن یک زنجیرهی بهرهبرداری اجرای کد از راه دور با یک کلیک در دستگاههای pixel 3 و pixel 4 کار سختی است و تاکنون تنها یک پژوهشگر امنیت سایبری به نام گوانگ گونگ از Qihoo 360 موفق به انجام این کار شده است.
گوگل بیان کرد که ۱۶۱٬۳۳۷ دلار از برنامهی Android Security Rewards و ۴۰ هزار دلار از برنامهی Chrome Rewards به گوانگ گونگ پاداش داده شده که در مجموع پاداشهای او ۲۰۱٬۳۳۷ دلار رسیده است. ۲۰۱٬۳۳۷ دلار پاداش بیشترین پاداش برای یک زنجیرهی بهرهبرداری در همهی برنامههای Google VRP بوده است.
علاوهبرآن، گوگل بیان کرد که این شرکت در سال ۲۰۱۹ میلادی در مجموع ۱٫۵ میلیون دلار به عنوان بخشی از برنامهی پاداش در ازای اشکال خود پرداخت کرده است که پاداش هر پژوهشگر امنیتی بهطور متوسط ۱۵ هزار دلار بوده است.
گوگل علاوهبر بهرهبرداریهای اجرای کد از راه دور Pixel Titan M دو نوع بهرهبرداری جدید را در برنامهی پاداش در ازای اشکال خود معرفی کرده است که شامل آسیبپذیریهای استخراج داده و دور زدن قفل صفحه میشود و بسته به نوع بهرهبرداری تا ۵۰۰ هزار دلار پاداش خواهد داد. گوگل برنامهی پاداش در ازای اشکال اندروید را دو ماه پس از آنکه شرکت Zerodium اعلام کرد که میخواهد برای آسیبپذیریهای روز-صفرم زنجیرهی کامل و بدون کلیک اندروید تا ۲٫۵ میلیون دلار پاداش دهد، راهاندازی کرد.
