Actualités Mobilité Android

Google : le gros lot pour la compromission de sa puce Titan M sur ses Pixel 3 et 4

Le vendredi 22 Novembre 2019 à 16:40 par Jérôme G. | 2 commentaire(s)

Google met le paquet en dollars pour susciter l'intérêt des chercheurs en sécurité et prêts à relever le défi de la compromission de sa puce Titan M sur ses derniers smartphones Pixel.

Dans le cadre du programme Android Security Rewards, qui a été inauguré en 2015, Google réévalue une nouvelle fois à la hausse le montant des récompenses pour des vulnérabilités dévoilées par des chercheurs en sécurité à l'équipe Android Security.

En toute logique, le programme est étendu au Pixel 4, en plus des Pixel 3a, 3a XL, 3 et 3 XL, tandis que les anciens smartphones Pixel disparaissent.

Les bugs de sécurité éligibles concernent toujours le code AOSP (Android Open Source Project), OEM (drivers et bibliothèques logicielles), noyau, Secure Element, TrustZone OS et les modules. Pour des vulnérabilités dans un autre code non-Android, l'éligibilité est fonction de l'impact sur la sécurité d'Android OS.

Introduite avec le Pixel 3, une compromission de la puce de sécurité Titan M servant à la protection des informations sensibles sera récompensée d'un grand prix d'un million de dollars. En l'occurrence, un exploit d'exécution de code à distance avec une chaîne complète et persistance sur l'appareil.

Il y a en plus un bonus de 50 % pour des exploits débusqués avec une préversion d'Android (pour les développeurs) et ainsi un grand prix potentiel de 1,5 million de dollars.

titan-m Puce Titan (à gauche) et Titan M (à droite)

La puce Titan M réduit la surface d'attaque et exécute plusieurs fonctions de sécurité sensibles comme au niveau de l'Android Verified Boot, le stockage de clés de sécurité privées, le renforcement des politiques de rétablissement de la configuration d'usine, pour empêcher le déverrouillage ou l'installation de mises à jour firmware sans l'accord du propriétaire de l'appareil.

La Titan M dispose de connexions électriques directes avec les boutons sur le côté du Pixel, de sorte qu'un attaquant ne peut pas être en mesure de simuler à distance des appuis.

La grosse prime mise en jeu avec le programme Android Security Rewards est une réponse à des programmes comme par exemple avec Zerodium ou pour vendre des exploits à des gouvernements. Sur ce marché controversé des 0day, Zerodium a récemment surpris en accordant plus de valeur à des exploits pour Android que pour iOS et l'iPhone.

La mise à jour du programme Android Security Rewards comprend également l'introduction d'une récompense de 500 000 $ pour des exploits impliquant l'exfiltration de données et des contournements de l'écran de verrouillage.

Complément d'information

Titan M : les Google Pixel 3 et Pixel 3 XL intègrent une puce de sécurisation dédiée

Google a intégré une puce de sécurisation Titan M spécifique dans ses smartphones Google Pixel 3 et Pixel 3 XL pour protéger les données stockées jusqu'à un niveau hardware.
Google Titan : la puce dédiée pour protéger ses serveurs cloud et gagner des parts de marché

Google a trouvé une nouvelle idée pour mettre en avant la qualité de ses infrastructures cloud par rapport à la concurrence d'Amazon ou de Microsoft : intégrer une puce dédiée Titan de sécurité dans ses serveurs et équipements ...