idNSA.id – Google menyiapkan tantangan baru bagi peretas yang dapat menemukan dan melaporkan kerentanan kritis dalam sistem Android. Hadiah hingga $1.5 juta ditawarkan bagi para peretas.
Mulai tanggal 22 November 2019 kemarin pada postingan thehackernews, Google akan membayar $1 Juta untuk eksploitasi eksekusi kode jarak jauh full chain dengan kegigihan yang mampu membahayakan elemen aman Titan M pada perangkat Pixel. Kata google dalam postingan hari kamis kemarin.
Selain itu, jika seseorang berhasil mencapai hal yang sama dalam versi pratinjau pengembang Android, Google akan membayar tambahan $ 500.000, sehingga total menjadi $ 1,5 juta — itu sama dengan 7,5 kali lebih banyak dari hadiah Android sebelumnya.
Diperkenalkan dalam smartphone Pixel 3 tahun lalu, elemen aman Titan M Google adalah chip keamanan khusus yang berada di samping prosesor utama, terutama dirancang untuk melindungi perangkat terhadap serangan waktu boot.
Dengan kata lain, chip Titan M adalah komponen perangkat keras terpisah untuk Boot Terverifikasi Android yang juga menangani data sensitif, verifikasi kode sandi layar kunci, kebijakan pengaturan ulang pabrik, kunci pribadi, dan juga menawarkan API aman untuk operasi penting seperti pembayaran dan aplikasi transaksi.
Mempertimbangkan hal ini, biasanya sulit untuk menemukan rantai eksploitasi eksekusi kode jarak jauh 1-klik pada perangkat Pixel 3 dan 4, dan, sampai sekarang, hanya satu peneliti cybersecurity, Guang Gong dari Qihoo 360, yang dapat melakukan itu.
"Guang Gong dianugerahi $ 161.337 dari program Android Security Rewards dan $ 40.000 oleh program Chrome Rewards dengan total $ 201.337," kata Google.
Selain itu, Google juga mengatakan perusahaan telah membayar total $ 1,5 juta pada tahun 2019 sebagai bagian dari program hadiah bug, dengan rata-rata hadiah lebih dari $ 15.000 per peneliti keamanan.
Selain eksploitasi RCE untuk Pixel Titan M, Google juga telah memperkenalkan dua kategori eksploit baru untuk program penghargaannya data exfiltration and lockscreen bypass vulnerabilities yang akan memberi hadiah hingga $ 500.000 untuk tergantung pada kategori eksploit.
Program hadiah Android Google yang diperluas datang lebih dari dua bulan setelah vendor eksploitasi pihak ketiga Zerodium mengumumkan untuk membayar hingga $ 2,5 juta untuk full chain, zero-click, with persistence. Android zero-days, yang merupakan lompatan langsung 12x dari harga sebelumnya tag $ 200.000.
