谷歌悬赏150万美元远程入侵泰坦M芯片

谷歌（Google）最近宣布，将增加发现并报告Android操作系统中关键漏洞的漏洞奖励。谷歌（Google）昨日为黑客设立了一个新的挑战级别，可能让他们赢得高达150万美元的奖励。

从今天开始，谷歌将支付100万美元，用于“利用持久性进行全链远程代码执行攻击，从而破坏像素设备上的Titan M安全元素，”这家科技巨头在周四发布的博客文章中说。

此外，如果有人在Android的开发者预览版中实现了同样的效果，谷歌将额外支付50万美元，使总额达到150万美元—；这比之前的Android最高奖励高出7.5倍。

去年推出的Pixel 3智能手机中，谷歌的Titan M secure element是一款与主处理器并排的专用安全芯片，主要用于保护设备免受启动时攻击。

换句话说，Titan M芯片是Android Verified Boot的独立硬件组件，它还负责敏感数据、锁屏密码验证、工厂重置策略、私钥，并为支付和应用程序交易等关键操作提供安全API。

考虑到这一点，通常很难在Pixel 3和Pixel 4设备上找到一键式远程代码执行攻击链，而且到目前为止，只有奇虎360的广功一位网络安全研究员能够做到这一点。

谷歌表示：“广工从Android安全奖励计划中获得161337美元，从Chrome奖励计划中获得40000美元，共计201337美元。”。

“201337美元的综合奖励也是所有谷歌VRP项目中单个漏洞链的最高奖励。”

此外，谷歌还表示，该公司在2019年总共支付了150万美元作为其漏洞赏金计划的一部分，每个安全研究员的平均赏金超过15000美元。

除了Pixel Titan M的RCE漏洞，谷歌还在其奖励计划中引入了两类新的漏洞—；数据过滤和锁屏旁路漏洞—；根据漏洞类别，最高可获得50万美元的奖励。

两个多月前，第三方漏洞攻击供应商Zerodium宣布为“全链、零点击、持久性”Android zero days支付高达250万美元的价格，这是其之前20万美元价格的12倍，谷歌推出了Android奖励计划。