Google за злам чипа апаратного захисту у смартфонах Pixel заплатить 1,5 млн доларів

Своєю останньою заявою про збільшення винагород  за пошук та повідомлення про критичні вразливості в Android Google створила новий рівень складності на “чемпіонаті з хакерства”. Якщо хакерам вдасться виконати завдання, вони отримають винагороду до 1,5 мільйонів доларів.

Google заплатить 1 мільйон доларів за “повноцінне експлуатування віддаленого виконання коду, яке компрометує захищений елемент Titan M на пристроях Pixel”, заявив технічний гігант у публікації в блозі, опублікованій  минулого четверга.

Більше того, якщо комусь вдасться досягти того ж у тестовій версії нового релізу Android, Google заплатить додатково 500 000 доларів США, збільшивши загальну суму в 1,5 мільйона доларів – це в 7,5 рази більше, ніж попередня нагорода за найкращу спробу зламати Android, пише TheHackerNews.

Представлений у минулому році в смартфонах Pixel 3, захиcний елемент Titan M від Google – це спеціалізована мікросхема безпеки, що розташовується поряд з основним процесором та призначена для захисту пристроїв від атак під час завантаження.

Іншими словами, мікросхема Titan M – це окремий апаратний компонент для Android Verified Boot, який також піклується про конфіденційні дані, перевірку пароля коду блокування на екрані, політику повернення до заводських налаштувань, приватні ключі, а також пропонує безпечний API для критичних операцій, таких як оплата карткою та інші транзакції.

Зважаючи на це, зазвичай важко знайти ланцюг експлойтів для віддаленого виконання коду в 1 клік на пристроях Pixel 3 і 4, і до цього часу це вдалося зробити лише одному досліднику кібербезпеки, Гуану Гун з Qihoo 360.

“Гуан Гун отримав 161 337 доларів від програми Android Security Rewards і 40 000 доларів від програми Chrome Rewards на загальну суму 201 337 доларів”, – зазначив представник Google. “Комбінована винагорода в розмірі 201,337 доларів – це також найвища нагорода за один ланцюг експлойтів для всіх програм VRP Google”.

Крім того, Google також повідомила, що компанія виплатила в 2019 році загальну суму 1,5 мільйона доларів в рамках програми з виправлення помилок, середня сума – понад 15 000 доларів на одного дослідника з питань безпеки. Окрім експлойтів RCE для Pixel Titan M, компанія Google також представила дві нові категорії експлойтів, які потрібно виявити та реалізувати, у програму винагород – виправлення даних та вразливості обходу блокувального екрану. За них можуть виплатити до 500 000 доларів США залежно від категорії експлойта.

Нагадаємо, компанія D-Link попередила користувачів, що кілька моделей маршрутизаторів містять низку критичних уразливостей, експлуатація яких дозволяє віддаленим зловмисникам отримати контроль над обладнанням і викрасти дані. Як повідомив виробник, проблеми не будуть виправлені, оскільки обладнання застаріло і більше не буде отримувати оновлення безпеки.

Також Microsoft працює над реалізацією в майбутніх випусках Windows 10 протоколу “DNS поверх HTTPS” (DNS over HTTPS, DoH). Протокол DoH дозволяє виконувати дозвіл DNS поверх зашифрованого HTTPS-з’єднання, а DoT шифрує і “упаковує” DNS-запити через протокол Transport Layer Security (TLS). Додавши DoH в Windows 10 Core Networking, Microsoft прагне посилити захист приватності користувачів в Інтернеті шляхом шифрування всіх їх DNS-запитів.

Зверніть увагу, що Intel збирається видалити завантаження для старих апаратних компонентів з офіційного сайту. Хоча компанія не робила офіційної заяви з приводу видалення драйверів, багато користувачів помітили попередження при спробі завантажити окремі екземпляри програмного забезпечення. Тому якщо Ви використовуєте старе обладнання Intel, Вам слід якомога швидше завантажити оновлення BIOS і драйвери на свій пристрій.

До речі, для безпечного збереження даних давно радять використовувати менеджер паролів – наприклад, 1Password, LastPass або Bitwarden. Але сучасні веб-браузери також мають вбудовані менеджери паролів. Здавалося б, навіщо встановлювати інший? Як виявилося, є багато вагомих причин уникати вбудованого інструменту управління паролями для браузера.

Окрім цього, за цей рік було виявлено багато різних атак на критично важливі фінансові установи та інші цілі особливого значення. Зазвичай для проникнення в систему конкретної компанії кіберзлочинці надсилають фішингові електронні листи, а в деяких випадках вони користуються необмеженістю дозволів популярних хмарних ресурсів. Як захистити інформаційні ресурси компанії та уникнути поширених помилок, читайте у статті.