长期以来,较大规模的软硬件商,包含 Microsoft、Google 都以悬赏方式奖励技术人员发掘公司产品中的问题与 Bug,特别是 Google 给起奖励金更是毫不手软,只要你有能力拿都欢迎挑战。这回Google 更是以新的 Android 安全奖励计划一口气提高奖励金额,如果你发面并证明 Google 自家安全芯片 Titan M 存在缺陷,你将可能获得最高 100 万美元奖励金。
长期以来,较大规模的软硬件商,包含 Microsoft、Google 都以悬赏方式奖励技术人员发掘公司产品中的问题与 Bug,特别是 Google 给起奖励金更是毫不手软,只要你有能力拿都欢迎挑战。这回Google 更是以新的 Android 安全奖励计划一口气提高奖励金额,如果你发面并证明 Google 自家安全芯片 Titan M 存在缺陷,你将可能获得最高 100 万美元奖励金。
Titan M 这款安全芯片并非全新设计,在过去,Google 就曾为其服务器设计过类似的芯片,只是行动装置版本则是在 大约一年前的 Pixel 3 中首次亮相。Titan M 是一款低功耗微型控制器,用来对重要的系统进行加密验证,并且将使用者最敏感的数据与操作系统分隔开。ARM 芯片拥有一个称为 TrustZone ,与主要操作系统分隔开,而 Apple 在其 A 系列芯片上则拥有一层安全外壳。有别于前述两者,Google 的 Titan M 是完全独立的硬件零件,用于储存 FIDO 凭证,甚至没有连接到 SoC 中,从理论上来说可以为使用者提供更好的安全防护,在使用者开启了双重验证的前提下, Google 将 Titan M 用作登入 Google 账号不可或缺的一个环节,可以说是近期 Pixel 设备安全性的中重要组成。
前面讲的毕竟都是较为理论的理想壮代,就怕 Titan M 对骇客的攻击无法抵抗,因此 Google 提供了巨额奖金以鼓励有能力的技术、安全人员一起找寻漏洞。如果想获得最高额的 100 万美元奖金,研究人员必须提供“具永久性的全链远端执行程式码漏洞攻击(full chain remote code execution exploit with persistence)”,简单来说就是发现一种无需物理上接触手机就可使骇客永久性获取 Titan M 授权的方法。
如果找到这一项最坏的可能性就能获得 100 万美元奖金,如果在特定的 Android 开发者预览 beta 版中找到有效的漏洞攻击手段还可以额外获得 50% 的奖金,因此最多可以获得合计共 150 万美元,只要你有本事,Google 要给你的零用钱就在伟大航道上。
【更多奖励方案细节,点这里】