Samsung анонсировала новую программу bug bounty для своих мобильных устройств. Вознаграждение за критические уязвимости может достигать $1 млн.
Программа под названием Important Scenario Vulnerability Program (ISVP) нацелена на уязвимости, связанные с выполнением произвольного кода, разблокировкой устройств, хищением данных, установкой произвольных приложений и обходом защиты устройства.
Самые большие вознаграждения выплатят за следующие баги:
Knox Vault — изолированная защищённая среда Samsung для хранения конфиденциальной биометрической информации и криптографических ключей на мобильных устройствах. За работающий эксплоит можно получить $300 тысяч, а за а за удалённое выполнение произвольного кода — до $1 млн;
TEEGRIS OS — операционная система Samsung Trusted Execution Environment (TEE), которая обеспечивает безопасную и изолированную от основной ОС среду для выполнения важного кода и обработки критически важных данных, включая платежи и аутентификацию. За локальное выполнение произвольного кода можно получить $200 тысяч, а за удалённое выполнение — до $400 тысяч;
Rich OS — основная операционная система на устройствах Samsung. За локальное выполнение кода можно получить $150 тысяч, а за удалённое — до $300 тысяч.
За разблокировку устройства в сочетании с полным извлечением пользовательских данных предлагается вознаграждение на уровне $400 тысяч.
$100 тысяч можно получить за удалённую установку произвольного приложения из неофициального магазина приложений или с сервера злоумышленника. За установку приложения из Galaxy Store вознаграждение составит $60 тысяч.
Отчёты исследователей должны сопровождаться работающими эксплойтами, которые должны функционировать без дополнительных привилегий на флагманских моделях устройств, таких как Galaxy S и Z, со всеми установленными обновлениями. Для получения максимального вознаграждения нужно предоставить эксплойт типа zero-click.
В июле Google объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях, в рамках программы вознаграждения за уязвимости. Теперь их максимальный размер составит $151 515.
Источник новости: habr.com
