谷歌悬赏150万美元远程入侵泰坦M芯片
发布时间:2023-01-08 21:34:46 533
相关标签: # 漏洞# 数据# 攻击# 网络安全# 黑客
从今天开始,谷歌将支付100万美元,用于“利用持久性进行全链远程代码执行攻击,从而破坏像素设备上的Titan M安全元素,”这家科技巨头在周四发布的博客文章中说。
此外,如果有人在Android的开发者预览版中实现了同样的效果,谷歌将额外支付50万美元,使总额达到150万美元—;这比之前的Android最高奖励高出7.5倍。
去年推出的Pixel 3智能手机中,谷歌的Titan M secure element是一款与主处理器并排的专用安全芯片,主要用于保护设备免受启动时攻击。
换句话说,Titan M芯片是Android Verified Boot的独立硬件组件,它还负责敏感数据、锁屏密码验证、工厂重置策略、私钥,并为支付和应用程序交易等关键操作提供安全API。
考虑到这一点,通常很难在Pixel 3和Pixel 4设备上找到一键式远程代码执行攻击链,而且到目前为止,只有奇虎360的广功一位网络安全研究员能够做到这一点。
谷歌表示:“广工从Android安全奖励计划中获得161337美元,从Chrome奖励计划中获得40000美元,共计201337美元。”。
“201337美元的综合奖励也是所有谷歌VRP项目中单个漏洞链的最高奖励。”
此外,谷歌还表示,该公司在2019年总共支付了150万美元作为其漏洞赏金计划的一部分,每个安全研究员的平均赏金超过15000美元。
除了Pixel Titan M的RCE漏洞,谷歌还在其奖励计划中引入了两类新的漏洞—;数据过滤和锁屏旁路漏洞—;根据漏洞类别,最高可获得50万美元的奖励。
两个多月前,第三方漏洞攻击供应商Zerodium宣布为“全链、零点击、持久性”Android zero days支付高达250万美元的价格,这是其之前20万美元价格的12倍,谷歌推出了Android奖励计划。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报