人民 Microsoft微軟 他想和他一起把房子扔出窗外 最近公告 他在其中宣布願意支付高達十萬美元的獎勵 給那些認識並與他們分享的人 Azure Sphere IoT平台中的安全漏洞 它基於Linux內核構建,並對基本服務和應用程序使用沙箱隔離。
該獎項旨在證明Pluto子系統中的漏洞 (在芯片中實現的信任根)或Secure World(沙盒)。 這一系列的獎勵是 新的三個月挑戰 並向可以在Azure Pluto和Azure Secure World上運行代碼的研究人員提供100,000美元的最高獎勵。
Azure Sphere應用程序平台包括標準世界(相當於用戶模式的Linux)和安全世界(位於安全監控器運行所在的Microsoft自定義Linux內核下)。 微軟指出,只有微軟提供的代碼才能在主管模式或安全世界中運行。
如果你不知道 Azure Sphere平台的 您應該知道它旨在創建物聯網設備 (IoT)已創建 基於低功耗微控制器 (MCU,微控制器單元)和集成的外圍子系統。
也是Azure Sphere 用於零售設備例如,星巴克(Starbucks)等公司。 平台的特徵之一是子系統 Pluton旨在提供用於加密的硬件, 存儲私鑰並執行複雜的加密操作。 Pluton包括一個單獨的專用處理器,加密引擎,硬件隨機數生成器和隔離的密鑰庫。
該計劃專門針對Azure Sphere OS 並且不包括已經包含在單獨獎勵計劃中的雲子系統。
這項新的研究挑戰旨在在Azure Sphere上進行新的高影響力安全研究,Azure Sphere是一種全面的IoT安全解決方案,可跨硬件,操作系統和雲提供端到端安全性。 儘管Azure Sphere預先實現了安全性,並且默認情況下實現了安全性,但Microsoft認識到安全性不是一次性事件。
在不斷增長的設備和服務範圍內,必須不斷降低風險。 與安全研究社區合作,讓高風險的漏洞在壞人之前進行調查,這是Azure Sphere為降低風險而採取的整體方法的一部分。
要獲得獎金,必須證明存在漏洞 中 局部襲擊 (申請承諾) 或遠程 它可能導致第三方代碼未通過數字簽名進行身份驗證,攔截身份驗證參數,增加特權,進行配置更改或繞過防火牆限制。
為了進行研究, 微軟表示願意為參與者提供產品和服務的訪問權限,Azure Sphere SDK,技術文檔,以及提供與平台開發人員的溝通渠道。
Microsoft與數家在IoT安全研究領域擁有專業知識的技術公司合作,發起了Azure Sphere安全研究挑戰賽,這些合作夥伴包括Avira,百度國際技術,Bitdefender,Bugcrowd,思科系統公司(Talos),ESET,FireEye ,F-Secure,HackerOne,K7 Computing,McAfee,Palo Alto Networks和Zscaler。
如果您有興趣請求訪問此研究計劃, 您必須填寫以下申請表 15年2020月XNUMX日之前。
申請將每週審查,接受的研究人員將通過電子郵件通知。 這項研究挑戰涵蓋了 1年2020月XNUMX日 到 31年2020月XNUMX日 對於通過開放申請接受的研究人員。
最後,如果您有興趣了解更多信息,可以查閱詳細信息。 在下面的鏈接中。