Google : le gros lot pour la compromission de sa puce Titan M sur ses Pixel 3 et 4

Le par  |  2 commentaire(s)
Android 10 logo 02

Google met le paquet en dollars pour susciter l'intérêt des chercheurs en sécurité et prêts à relever le défi de la compromission de sa puce Titan M sur ses derniers smartphones Pixel.

Dans le cadre du programme Android Security Rewards, qui a été inauguré en 2015, Google réévalue une nouvelle fois à la hausse le montant des récompenses pour des vulnérabilités dévoilées par des chercheurs en sécurité à l'équipe Android Security.

En toute logique, le programme est étendu au Pixel 4, en plus des Pixel 3a, 3a XL, 3 et 3 XL, tandis que les anciens smartphones Pixel disparaissent.

Les bugs de sécurité éligibles concernent toujours le code AOSP (Android Open Source Project), OEM (drivers et bibliothèques logicielles), noyau, Secure Element, TrustZone OS et les modules. Pour des vulnérabilités dans un autre code non-Android, l'éligibilité est fonction de l'impact sur la sécurité d'Android OS.

Introduite avec le Pixel 3, une compromission de la puce de sécurité Titan M servant à la protection des informations sensibles sera récompensée d'un grand prix d'un million de dollars. En l'occurrence, un exploit d'exécution de code à distance avec une chaîne complète et persistance sur l'appareil.

Il y a en plus un bonus de 50 % pour des exploits débusqués avec une préversion d'Android (pour les développeurs) et ainsi un grand prix potentiel de 1,5 million de dollars.

titan-mPuce Titan (à gauche) et Titan M (à droite)

La puce Titan M réduit la surface d'attaque et exécute plusieurs fonctions de sécurité sensibles comme au niveau de l'Android Verified Boot, le stockage de clés de sécurité privées, le renforcement des politiques de rétablissement de la configuration d'usine, pour empêcher le déverrouillage ou l'installation de mises à jour firmware sans l'accord du propriétaire de l'appareil.

La Titan M dispose de connexions électriques directes avec les boutons sur le côté du Pixel, de sorte qu'un attaquant ne peut pas être en mesure de simuler à distance des appuis.

La grosse prime mise en jeu avec le programme Android Security Rewards est une réponse à des programmes comme par exemple avec Zerodium ou pour vendre des exploits à des gouvernements. Sur ce marché controversé des 0day, Zerodium a récemment surpris en accordant plus de valeur à des exploits pour Android que pour iOS et l'iPhone.

La mise à jour du programme Android Security Rewards comprend également l'introduction d'une récompense de 500 000 $ pour des exploits impliquant l'exfiltration de données et des contournements de l'écran de verrouillage.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
ChristopheMagnetic Hors ligne Junior 83 points
Le #2084281
Quelle drôle de démarche alors que Librem a sorti un téléphone qui respecte la vie privée...
Le #2084291
ChristopheMagnetic a écrit :

Quelle drôle de démarche alors que Librem a sorti un téléphone qui respecte la vie privée...


je pense qu'il serait sage d'attendre que ce téléphone soit entre les mains des clients avant de se lancer dans une quelconque comparaison.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme