Samsung wprowadził nowy program nagród dla programistów, którzy zajmą się odkrywaniem błędów w urządzeniach mobilnych producenta. Oferuje nagrody w wysokości nawet 1 miliona dolarów za zgłoszenia krytycznych scenariuszy ataków.
Spis treści
Jakich luk w zabezpieczeniach trzeba szukać?
Program ISVP (Important Scenario Vulnerability Program) skupia się na lukach związanych z wykonywaniem dowolnego kodu, odblokowywaniem urządzeń, wyciąganiem danych, instalowaniem dowolnych aplikacji i omijaniu zabezpieczeń urządzenia. Obejmuje następujące krytyczne scenariusze:
- omijanie zabezpieczeń urządzenia,
- zdalne wykonywanie dowolnego kodu na elementach systemu z najwyższymi uprawnieniami,
- odblokowanie urządzenia i pełne wyciągnięcie danych użytkownika,
- zdalna instalacja dowolnych aplikacji.
Program obejmuje obecnie 38 urządzeń mobilnych koreańskiego producenta, które otrzymują miesięczne i kwartalne aktualizacje zabezpieczeń oraz różne usługi Samsung Mobile, takie jak Bixby, Samsung Account, Samsung Pay i Samsung Pass.
Jakie pieniądze są do zdobycia?
Samsung znacząco zwiększył nagrody w ramach programu bug bounty, oferując nawet milion dolarów za odkrycie poważnych luk w zabezpieczeniach swoich urządzeń mobilnych.
Najwyższa nagroda w wysokości miliona dolarów została zarezerwowana za odkrycie zdalnej luki pozwalającej na wykonywanie dowolnego kodu w Knox Vault – bezpiecznym środowisku służącym do przechowywania wrażliwych danych. Inne znaczące nagrody to:
- do 400 000 dolarów za zdalne wykonywanie kodu w TEEGRIS OS,
- do 300 000 dolarów za zdalne wykonywanie kodu w Rich OS,
- do 400 000 dolarów za odblokowanie urządzenia i pełne wyciągnięcie danych użytkownika przed pierwszym odblokowaniem.
Oto wszystkie stawki za odnalezione bugi:
Aby otrzymać nagrodę, zgłoszenie błędu musi zawierać działający exploit, który działa bez uprawnień na najnowszej aktualizacji bezpieczeństwa flagowych modeli, takich jak seria Galaxy S i Z.
Ile do tej pory zarobili programiści na odkrytych lukach?
Firma prowadzi program nagród za odkrywanie luk w zabezpieczeniach od 2016 roku, stale go aktualizując, aby obejmował nowe urządzenia i usługi. W 2023 roku w programie Mobile Security Rewards uczestniczyło 113 osób. Producent wypłacił im 827 925 dolarów za zgłoszenia błędów i luk zabezpieczeń.
Szykujesz się na powrót do szkoły? Poświęć chwilę, by podzielić się z nami informacjami o wyposażeniu dziecka w sprzęt i oprogramowanie niezbędne do nauki. Z góry dziękujemy!
Źródło: Bleeping Computer, Samsung. Zdjęcie otwierające: Samsung / materiały prasowe
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.