компанія Microsoft про готовність виплатити , розміром до ста тисяч доларів, за виявлення пролому в IoT-платформі , на базі ядра Linux та застосовує sandbox-ізоляцію для основних сервісів та додатків. Премія обіцяна за демонстрацію вразливостей у підсистемі (корінь довіри, реалізований у чіпі) або (пісочниця).
Премія є частиною тримісячної , яка триватиме з 1 червня до 31 серпня 2020 року. Ініціатива націлена саме на Azure Sphere OS і не включає підсистеми хмари, які вже включені до окремої програми винагороди. Для отримання премії необхідно продемонструвати вразливість, яка в ході локальної (компрометація програми) або віддаленої атаки може призвести до виконання незавіреного цифровим підписом стороннього коду, перехопити параметри автентифікації, підвищити привілеї, внести зміни до налаштувань або обійти обмеження міжмережевого екрану. Для проведення дослідження компанія Microsoft висловила готовність надати учасникам доступ до продуктів та сервісів, Azure Sphere SDK, технічної документації та забезпечити канал зв'язку з розробниками платформи.
Платформа Azure Sphere призначена для створення пристроїв інтернет-речей, побудованих на базі енергоефективних мікроконтролерів (MCU, microcontroller unit) з інтегрованими периферійними підсистемами. Azure Sphere використовується в тому числі в торговому устаткуванні, наприклад, таких компаній, як Starbucks. Однією з особливостей платформи є підсистема Pluton, яка призначена для надання апаратних засобів для шифрування, зберігання закритих ключів та виконання складних криптографічних операцій. Pluton включає окремий спеціалізований процесор, криптографічний двигун, апаратний генератор випадкових чисел і ізольоване сховище ключів.
Додатково можна відзначити про спробу продажу невідомим вмістом приватних GitHub-репозиторіїв Microsoft. Невідомий заявив, що зміг завантажити близько 500 ГБ даних із приватних репозиторіїв Microsoft, розміщених на GitHub, і надав як доказ скріншоти та 1 ГБ даних. Більшість учасників визнали докази непереконливими, оскільки скріншоти легко підробити, а в даних фігурував якийсь безглуздий набір файлів із текстом китайською мовою, тестами та уривками коду. Один з інженерів Microsoft в заявив, що витік, ймовірно, є фейком, оскільки в Microsoft є правило, відповідно до якого в приватних репозиторіях на GitHub розміщуються проекти, які повинні стати публічними протягом 30 днів.
Джерело: opennet.ru