Компания Microsoft объявила о готовности выплатить премию, размером до ста тысяч долларов, за выявление бреши в IoT-платформе Azure Sphere, построенной на базе ядра Linux и применяющей sandbox-изоляцию для основных сервисов и приложений. Премия обещана за демонстрацию уязвимостей в подсистеме Pluton (корень доверия, реализованный в чипе) или Secure World (sandbox).
Премия является частью трёхмесячной исследовательской программы, которая продлится с 1 июня по 31 августа 2020 года. Инициатива нацелена именно на Azure Sphere OS и не включает подсистемы облака, которые уже включены в отдельную программу вознаграждения. Для получения премии необходимо продемонстрировать уязвимость, которая в ходе локальной (компрометация приложения) или удалённой атаки может привести к выполнению незаверенного цифровой подписью стороннего кода, перехватить параметры аутентификации, повысить привилегии, внести изменений в настройки или обойти ограничения межсетевого экрана. Для проведения исследования компания Microsoft выразила готовность предоставить участникам доступ к продуктам и сервисам, Azure Sphere SDK, технической документации, а также обеспечить канал связи с разработчиками платформы.
Платформа Azure Sphere предназначена для создания устройств интернета-вещей, построенных на базе энегоэффективных микроконтроллеров (MCU, microcontroller unit) с интегрированными периферийными подсистемами. Azure Sphere используется в том числе в торговом оборудовании, например таких компаний, как Starbucks. Одной из особенностей платформы является подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций. Pluton включает в себя отдельный специализированный процессор, криптографический движок, аппаратный генератор случайных чисел и изолированное хранилище ключей.
Дополнительно можно отметить появление сведений о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство участников сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.
