Google长期以来一直都为那些帮他们发现产品中的安全漏洞的研究人员提供奖金。而他们给起奖金来也是非常慷慨的。不过他们最新的Android安全奖励计划将整件事带入了一个全新的高度。如果安全研究人员发现并且证明Google旗下的Titan M安全芯片中存在缺陷,他们可以获得最高100万美元的赏金。
Titan M安全芯片在大约一年前的Pixel 3中首次亮相,不过它的设计并不是全新的。在移动版Titan芯片之前,Google为他们的服务器设计过类似的芯片。不论是用在服务器还是移动装置,用途都是相似的– Titan是一个低功耗微的控制器,用来对重要的系统组件进行加密验证,并且将用户最敏感的数据与操作系统分隔开。
Titan M则是服务器芯片的缩小版,保持了对Pixel手机软件的完整性。基于硬件而设的安全组件并不是甚么新鲜事。ARM芯片拥有一个称为TrustZone,与主操作系统分隔开的组件,而Apple在其A系列芯片上则拥有一层安全外壳。
Google的Titan M则是完全独立的硬件部件,甚至没有连接到SoC中,从理论上来说这可以提供更好的保护。Google已经把Titan M用作登入Google账户必不可少的一环,前提是用户设置了双重认证。
不过如果Titan M不能抵抗黑客攻击,一切都是空谈。因此Google会为发现漏洞提供巨额奖金。如果想获得最高额的奖金,研究人员必须提供“具有持久性的全链远程执行代码漏洞攻击(full chain remote code execution exploit with persistence)”。换言之,一种无需物理上接触手机就可使黑客永久性获取Titan M授权的方法。再简单一点,就是最坏的情况。
研究员做到这一点就可以获得100万美元奖金。而如果在特定的Android开发者预览版中找到有效的漏洞攻击手段还可以额外获得50%的奖金。因此,研究员最多可以获得合共150万美元。
前段时间我们报导过ARM芯片中的TrustZone安全部件被发现有漏洞。在现今黑客攻击手段层出不穷的情况下,手机厂商确实需要为他们旗下的产品提供更好的保护。
领取专属 10元无门槛券
私享最新 技术干货