Google treo thưởng cho người có thể tấn công chip Titan M tới 1,5 triệu USD

Google vừa công bố rằng sẵn sàng bỏ ra một phần thưởng tiền mặt trị giá lên tới 1,5 triệu USD nếu các nhà nghiên cứu bảo mật tìm thấy và báo cáo các lỗi trong hệ điều hành Android có thể tấn công được chip bảo mật Titan M mới của hãng này.

Được giới thiệu vào năm ngoái, Titan M là một con chip trong các smartphone Google Pixel 3 và Pixel 4, giúp mã hóa và lưu trữ các dữ liệu nhạy cảm. Con chip này cung cấp lớp bảo vệ cho các thông tin đăng nhập thiết bị, mã hóa bộ nhớ lưu trữ, dữ liệu ứng dụng và tính toàn vẹn của hệ điều hành.

Google cho biết nếu các nhà nghiên cứu muốn tìm ra "việc khai thác thực thi mã từ xa toàn chuỗi một cách kiên trì" cũng làm tổn hại dữ liệu được bảo vệ bởi Titan M, họ sẵn sàng trả tới 1 triệu USD cho người tìm ra lỗi.

Nếu chuỗi khai thác hoạt động chống lại được một phiên bản xem trước của hệ điều hành Android, phần thưởng có thể lên tới 1,5 triệu USD.

Google sẵn sàng chi trả khoản những khoản lớn hơn cho người phát hiện lỗi vì cho phép công ty sửa lỗi trước khi hệ điều hành Android được chuyển đến các thiết bị trong thế giới thực.

Động thái này của Google diễn ra sau đầu năm nay, khi các công ty tư nhân mua lại các khai thác Android đã làm tăng khoản thưởng cho các phát hiện lỗi Android có mức lên đến 2,5 triệu USD, khiến đây là lần đầu tiên việc phát hiện các lỗi Android có giá trị cao hơn việc phát hiện lỗi iOS trên thị trường.

Ông Chaouki Bekrar, CEO của chương trình mua lại lỗi rZerodium, cho ZDNet biết thêm rằng công ty của ông cũng đã tăng các khoản tiền thưởng vì các thiết bị Android đã trở nên khó tấn công hơn do các tính năng bảo mật liên tục mà Google đã thêm vào hệ điều hành, cùng với sự đóng góp từ Samsung.

Tăng toàn bộ các khoản thưởng tìm ra lỗi

Công bố thưởng lớn vừa được đưa ra cũng vào lúc Google cũng tăng các khoản thưởng cho toàn bộ Chương trình thưởng cho việc tìm ra lỗi Android (Android Vulnerability Rewards Program - VRP).

Cho đến hiện tại, khoản thưởng cho việc tìm ra lỗ hổng tối đa là 200.000 USD cho "chuỗi khai thác từ xa dẫn đến một xâm phạm khu vực tin cậy (TrustZone) hoặc Khởi động được xác thực (Verified Boot)".

Kể từ khi Android VRP ra mắt vào năm 2015, chưa người nào dành được phần thưởng hàng đầu này và khả năng ai đó có thể tấn công Android chạy trên chip Titan M là rất thấp.

Google: đã chứng kiến hai khai thác từ xa toàn chuỗi

"Chúng tôi đã thấy hai thực thi mã từ xa (RCE) toàn chuỗi hoàn chỉnh", một phát ngôn viên của Google nói với ZDNet trong một cuộc phỏng vấn, khi được hỏi mức độ phổ biến của các báo cáo về lỗ hổng cho các lỗi có thể khai thác từ xa.

"Cả hai đều đến từ cùng một nhà nghiên cứu. Phần lớn các chuỗi khai thác được gửi đến là từ nội bộ chứ không phải từ xa", người phát ngôn của Google cho biết.

Nhà nghiên cứu này là Guang Gong, thuộc Alpha Lab, Qihoo 360 Technology. Một trong hai chuỗi khai thác RCE này cũng đã giúp Guang được trao phần thưởng cho phát hiện lỗi cao nhất vào năm 2019.

"Báo cáo này nêu chi tiết chuỗi khai thác thực thi mã từ xa chỉ bằng 1 lần nhấp được báo cáo đầu tiên trên thiết bị Pixel 3", Google cho biết.

Theo Google, Guang Gong đã được trao thưởng 161.337 USD từ chương trình Phần thưởng bảo mật Android và 40.000 USD theo chương trình Phần thưởng Chrome với tổng số 201.337 USD. Phần thưởng kết hợp 201.337 USD cũng là phần thưởng cao nhất cho một chuỗi khai thác duy nhất trên tất cả các chương trình VRP của Google.

500.000 USD cho tìm ra lỗi khai thác dữ liệu và vượt qua màn hình khóa

Nhưng bên cạnh việc giới thiệu phần thưởng trị giá 1,5 triệu USD cho các tấn công chip Titan M từ xa và tăng tiền thưởng lỗi, Google cũng đang bổ sung thêm một danh mục báo cáo lỗi khác.

Nhà sản xuất hệ điều hành Android cũng cho biết họ sẵn sàng trả tới 500.000 USD cho các báo cáo lỗi liên quan đến việc xóa dữ liệu và bỏ qua màn hình khóa, tùy thuộc vào mức độ phức tạp của lỗi. Điều này bắt nguồn từ niềm tin của công ty trong thực tế rằng Android đủ an toàn để không rơi vào tình trạng bị tấn công dễ dàng.

Dù bằng cách nào, Google đã không ngại và là một trong những công ty đưa ra khoản thưởng lớn nhất trên thị trường. Kể từ khi ra mắt Android VRP năm 2015, Google cho biết họ đã trả cho các nhà nghiên cứu tới 4,5 triệu USD, với 1,5 triệu USD được trả chỉ trong 12 tháng qua.

"Hơn 100 nhà nghiên cứu tham gia đã nhận được số tiền thưởng trung bình hơn 3.800 USD cho mỗi phát hiện (tăng 46% so với năm ngoái). Trung bình, điều này có nghĩa là chúng tôi đã trả hơn 15.000 USD (tăng 20% so với năm ngoái) cho mỗi nhà nghiên cứu", Google cho biết.

Nhiều công ty công nghệ lớn trên thế giới như Apple, Intel, Facebook, Kapersky… luôn có những chương trình thưởng lớn cho những ai tìm ra lỗi bảo mật sản phẩm, dịch vụ, quy trình nội bộ và hoạt động kinh doanh để từ đó các công ty công nghệ có thể nhanh chóng xử lý triệt để.

Hồi tháng 8/2019, Apple cho biết sẽ trao thưởng cho những nhà nghiên cứu bảo mật phát hiện các lỗi trên hệ điều hành iOS và macOS của mình tại hội nghị bảo mật Black Hat.

Apple sẽ cung cấp cho các nhà nghiên cứu bảo mật các mẫu iPhone đặc biệt, cho phép họ dễ dàng tìm thấy điểm yếu hơn trong iOS.

Các thiết bị do Apple cung cấp sẽ cho phép người sử dụng truy cập sâu vào hệ thống bên trong để dò tìm lỗi, điều mà những chiếc iPhone thông thường sẽ không cho phép.

Bất chấp mức độ mở như vậy, những chiếc iPhone này sẽ không được mở khóa cho toàn bộ hệ thống. Ví dụ, các nhà nghiên cứu bảo mật sử dụng các thiết bị này có thể sẽ không thể giải mã được phần firmware của iPhone.

Một nhà nghiên cứu bảo mật đã từng tiết lộ chi tiết về cách khai thác macOS để truy cập mật khẩu Keychain, nhưng từ chối chia sẻ chi tiết với Apple do thiếu chương trình tiền thưởng cho macOS. Cuối cùng, nhà nghiên cứu đã chia sẻ chi tiết về lỗ hổng này với Apple, mặc dù công ty không công bố công khai chương trình tiền thưởng.

Cũng hồi tháng 8, Microsoft kêu gọi các nhà nghiên cứu giúp phát hiện bất kỳ trục trặc bảo mật nào trong phiên bản beta của trình duyệt Edge dựa trên Chromium (Chromium-based Edge browser) mới trước khi chính thức phát hành trực tiếp.

Các nhà nghiên cứu có thể nhận được từ 1.000 - 30.000 USD khi tìm thấy các lỗ hổng nghiêm trọng hoặc quan trọng trên các kênh Dev và Edge Chromium của Microsoft. Các lỗ hổng trong phạm vi bao gồm việc leo thang các lỗ hổng đặc quyền, thực thi mã từ xa, tiết lộ thông tin và các lỗ hổng khác.