Google, hata ödül programını, özellikle Pixel telefonlarla birlikte gelen Titan M güvenlik çipinin hacklenmesi için, birinci sınıf bir Android 13 Beta istismarı için 1,5 milyon dolar sunacak şekilde genişletti.
Android 13 Beta kullanıma sunuldu geçen hafta geliştiricilere ve ilk benimseyenlere, Google gizlilik ve güvenliğe büyük ölçüde odaklanma sözü verdi. Görünüşe göre, ödül artışı herhangi bir gösterge ise, o departmanda teslim etmeyi hedefliyor.
İnternet devi, Twitter’da tüm Android 13 Beta istismarları için %50 bonus duyurdu ve Android program sayfası teklifi yansıtmak için önemli bir uyarı ekleyerek: “Güvenlik açıkları Android 13’e özel olmalı ve Android’in başka hiçbir sürümünde yeniden oluşturulmamalıdır” dedi.
Bu bolluktan yararlanmak için, böcek avcılarının yakında safariye çıkmaları gerekecek: Artan ödüller yalnızca 27 Mayıs’tan önce gönderilen raporlar için geçerlidir.
1.5 Milyon Dolarlık Ödemeyi Bağlamına Yerleştirmek
Bu ödeme sayısına ilişkin bir perspektif duygusu için, geçen yıl bir Android güvenlik açığı için ödenen en yüksek ödül olan 1,5 milyon dolardan katlanarak daha büyük olduğunu belirtmekte fayda var – belirtilmemiş bir bileşendeki kritik bir istismar zinciri için 157.000 dolar. Ayrıca, 2021’in tamamında Android kusurları için ödenen miktarın yarısı (yüzlerce istismarda toplam 3 milyon dolar) ve kabaca 2020’deki ödemelerin toplamına eşit. Yani, bu bir hata için çok fazla sevgi.
Bununla birlikte, bu boyutta bir ödeme görme olasılığı uzun bir ihtimal. Bunun nedeni, Google’ın en son büyük paralarla uğraştığı zamana bağlı olmasıydı: 2019’da, Google Pixel akıllı telefonlara yerleştirilmiş Titan M güvenlik çipini hackleyebilecek herkese 1 milyon dolar teklif etmeye başladı. Spesifik olarak, “Pixel cihazlarda Titan M güvenli öğesini tehlikeye atan, kalıcılıkla tam zincir uzaktan kod yürütme açıklarından yararlanma” gerektirir.
Ancak şimdiye kadar, bu ödül talep edilmedi. Bu nedenle, teklif edilen 1,5 milyon doları kazanmak için, etik bir bilgisayar korsanının yalnızca asla altüst edilmeyen Titan M’yi yıkması değil, aynı zamanda istismarın Android 13 Beta’da ve yalnızca Android 13 Beta’da çalıştığından emin olması gerekir.
Zorluk ölçeği bazılarını caydırmadı. Tek olarak ödül avcısı tweet attı“BRB, Titan M’de tam bir uzaktan kod yürütme istismar zinciri elde etmek için ruhumu hacker tanrılarına satacak.”
Tüm Android 13 Beta İstismarları Güçleniyor
Google’ın Android’de istismar edilebilir bir güvenlik açığı bulma konusundaki diğer ödülleri de Android 13 Beta için %50 bonusa tabidir. Bunlar, 75.000 ABD Doları (Aygıt İlkesi Denetleyicisi atlama veya ayrıcalıklı bir işlemde kod yürütme için) ile 500.000 ABD Doları (Titan M tarafından korunan yüksek değerli verilerin sızdırılması için) arasında herhangi bir yerde çalışır. Çoğu ödül 250.000 $ ‘dır.
OEM kodu (kütüphaneler ve sürücüler), Dijital Araba Anahtarları, çekirdek, önyükleyici, Güvenli Öğe kodu, TrustZone OS ve uygulamaları, çip üzerindeki sistem (SoC), Mikro Denetleyici Birimi (MCU), Önyükleme ROM’u, RAM belleği, Flash bellek, dosya sistemi , Güvenilir Yürütme Ortamı (TEE), telsiz birimleri vb., tümü uygun hedefler olarak kabul edilir.