Google za prijavljene ranljivosti v čipu Titan M ponuja poldrugi milijon

Proizvajalci programske in strojne opreme se počasi zavedajo, da miloščina, ki se običajno ponuja v programih prijavljanja hroščev in ranljivosti (bug bounty), ne more konkurirati bistveno bogatejšim ponudbam obveščevalnih agencij in specializiranih preprodajalcev ranljivosti. Ti ponujajo tudi milijon ali dva. Google se je zato odločil, da za čip Titan M nagrado pošteno dvigne. Kdor v Androidu najde hrošča, ki lahko vpliva tudi na varnost čipa Titan M, bo upravičen do največ 1,5 milijona dolarjev nagrade.

Čipe Titan M, ki jih je Google predstavil lani, najdemo v telefonih Pixel 3 in Pixel 4. Čip opravlja funkcije zagotavljanja varnosti, in sicer skrbi za obdelavo občutljivih podatkov, varni zagon (Verified Boot), šifriranje podatkov, varne transakcije, zaklep zaslona itd. Ranljivost v tem čipu bi imela katastrofalne posledice za varnost naprave (dokler je seveda ne bi zakrpali). Zato kdor odkrije način, kako v Titanu M izvesti nepooblaščeno kodo, lahko prejme milijon dolarjev, če pa napad deluje še na najnovejši prihajajoč Android OS, pa še polovico več.

Doslej je bila najvišja nagrada, ki jo je Google ponujal, vredna 200.000 dolarjev, a je še ni nihče dobil. Za ranljivost v Titanu M ponujajo tako veliko zato, ker gre za povsem ločeno strojno komponento, ki sploh ni povezana v SoC. Titan M je osrednja točka za prijavo v Googlov račun, če uporabljajo dvostopenjsko preverjanje pristnosti s telefonom.