用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    184

    主题

    184

    帖子

    1671

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2019-11-22 17:23:13 0335

    22.jpg

    本周四,谷歌宣布将上调有关Android的漏洞奖励,有关Titan M安全芯片的漏洞最高可获得150万美元的奖励。

    在2018年底,谷歌正式对外公开了目前安装在谷歌Pixel 3和Pixel 4手机上的Titan M专用安全芯片。该芯片用于处理敏感数据和程序,包括启动验证、设磁盘加密和一系列安全事务。

    而为了进一步加强安全性,谷歌表示将为“一个完整的远程命令执行和持久驻留漏洞”支付高达100万美元的奖励。如果该漏洞还可以在Android操作系统的预览版上的生效,还可以再追加50万美元。

    谷歌上涨漏洞赏金的决定,被视为这家科技巨头对Zerodium等0day买卖公司漏洞悬赏项目的回应,这些漏洞中间人对类似漏洞往往提供更高的赏金。今年9月,Zerodium更新了Android和iOS漏洞的悬赏价格,Android漏洞的价格首次超过iOS漏洞。

    针对Android系统的0day漏洞攻击最高可获得250万美元的奖励,而针对iOS系统的0day漏洞攻击仅可获得200万美元的奖励。

    Zerodium首席执行官Chaouki Bekrar表示,由于Google和三星的安全团队的不懈努力,Android系统的安全性每个版本都在提升,所以挖掘出一个高危漏洞变得越来越困难。

    以下是谷歌对于“完整漏洞利用链”的定义。

    对于完整的漏洞利用链(通常是多个漏洞综合利用),并能产生任意命令执行,数据窃取,锁屏绕过等效果时,我们将给予额外的奖励。实际金额由奖励委员会决定,取决于若干因素,包括(但不限于):

    • 是否有详细的文字说明

    • 初始攻击向量

    • 是否可以跨设备生效

    • 是否需要用户交互,交互量如何

    • 用户能够感受到攻击

    • 漏洞稳定性如何

    • 在特定的Android开发者预览版中生效的攻击链可以获得高达50%的额外奖励。

    不同攻击方式对应的最大奖励如下:

    33.png

    和Pixel中Titan M芯片敏感数据有关漏洞的最高奖励为50万美元,而锁屏绕过的最高奖励为10万美元。

    想获取更多信息,可查看Android安全奖励计划

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3204.html
    来源:https://securityaffairs.co/wordpress/94211/hacking/android-titan-m-hack.html
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册