Google maakte de energiezuinige microcontroller Titan M als beveiligingsmodule. De chip voert op hardwareniveau taken uit als de bootverificatie en versleuteling van gegevens op het Android-apparaat. De Titan M staat dan ook los van de rest van de SoC in de smartphone. Je kunt deze chip vergelijken met soortgelijke hardwarebeveiliging als de hardwaremodule in Apple's CPU's van de A-serie of iets als ARM's Trustzone. 

Als onderzoekers het klaarspelen om door Titan M beveiligde gegevens uit te lezen, kan dat 900.000 euro opleveren. Als deze hack vervolgens ook werkt in een previewversie van besturingssysteem Android, zodat Google het gat kan repareren nog voordat klanten kwetsbaar worden, beloont Google de hacker zelfs met 1,35 miljoen euro.

Maar ook andere kwetsbaarheden leveren flinke bedragen op. Een exploit op kernelniveau wordt bijvoorbeeld beloond met 226.000 euro en een rechtenescalatie 90.000. Aanvallen die op afstand uit te voeren zijn, zorgen voor een hoger uitgekeerd bedrag. Een lokale aanval als het omzeilen van de toestelvergrendeling kan echter een onderzoeker ook een stuk rijker maken, met beloningen tot 452.000 euro. 

Google biedt zulke bug-bounty's al sinds 2015 en de maximale bedragen zijn tot nu toe niet uitgekeerd, wat aangeeft dat het moeilijk is om een aanval te ontwerpen op systeemniveau die ervoor zorgt dat data geëxfiltreerd kan worden. Een succesvolle aanval op de beveiligingschip lijkt onwaarschijnlijk, maar met de enorme beloning hoopt Google dat als iemand zoiets vindt, het waarschijnlijker is dat ze cashen bij Google in plaats van de malware-industrie.