長期以來,較大規模的軟硬體商,包含 Microsoft、Google 都以懸賞方式獎勵技術人員發掘公司產品中的問題與 Bug,特別是 Google 給起獎勵金更是毫不手軟,只要你有能力拿都歡迎挑戰。這回Google 更是以新的 Android 安全獎勵計劃一口氣提高獎勵金額,如果你發面並證明 Google 自家安全晶片 Titan M 存在缺陷,你將可能獲得最高 100 萬美元獎勵金。
Google 鼓勵大家一起來入侵 Titan M 安全晶片,最高獎勵 100 萬美元
Titan M 這款安全晶片並非全新設計,在過去,Google 就曾為其伺服器設計過類似的晶片,只是行動裝置版本則是在 大約一年前的 Pixel 3 中首次亮相。Titan M 是一款低功耗微型控制器,用來對重要的系統進行加密驗證,並且將使用者最敏感的數據與作業系統分隔開。ARM 晶片擁有一個稱為 TrustZone ,與主要作業系統分隔開,而 Apple 在其 A 系列晶片上則擁有一層安全外殼。有別於前述兩者,Google 的 Titan M 是完全獨立的硬體零件,用於儲存 FIDO 憑證,甚至沒有連接到 SoC 中,從理論上來說可以為使用者提供更好的安全防護,在使用者開啟了雙重驗證的前提下, Google 將 Titan M 用作登入 Google 帳號不可或缺的一個環節,可以說是近期 Pixel 設備安全性的中重要組成。
前面講的畢竟都是較為理論的理想壯代,就怕 Titan M 對駭客的攻擊無法抵抗,因此 Google 提供了巨額獎金以鼓勵有能力的技術、安全人員一起找尋漏洞。如果想獲得最高額的 100 萬美元獎金,研究人員必須提供「具永久性的全鏈遠端執行程式碼漏洞攻擊(full chain remote code execution exploit with persistence)」,簡單來說就是發現一種無需物理上接觸手機就可使駭客永久性獲取 Titan M 授權的方法。
如果找到這一項最壞的可能性就能獲得 100 萬美元獎金,如果在特定的 Android 開發者預覽 beta 版中找到有效的漏洞攻擊手段還可以額外獲得 50% 的獎金,因此最多可以獲得合計共 150 萬美元,只要你有本事,Google 要給你的零用錢就在偉大航道上。
【更多獎勵方案細節,點這裡】