Dwa telefony Samsung, jeden z logo Samsung Knox, drugi z wykresem finansowym na ekranie, obok okulary, portfel i zegarek na drewnianym blacie.

Samsung zapłaci nawet milion dolarów za odkrycie krytycznych luk w zabezpieczeniach

2 minuty czytania
Komentarze

Samsung wprowadził nowy program nagród dla programistów, którzy zajmą się odkrywaniem błędów w urządzeniach mobilnych producenta. Oferuje nagrody w wysokości nawet 1 miliona dolarów za zgłoszenia krytycznych scenariuszy ataków.

Zabezpieczenia, luki w smartfonach Samsung. Osoba robiąca zdjęcie telefonu komórkowego wyświetlającego napis "Galaxy AI is here" podczas wydarzenia.
Fot. Samsung / materiały prasowe

Jakich luk w zabezpieczeniach trzeba szukać?

Program ISVP (Important Scenario Vulnerability Program) skupia się na lukach związanych z wykonywaniem dowolnego kodu, odblokowywaniem urządzeń, wyciąganiem danych, instalowaniem dowolnych aplikacji i omijaniu zabezpieczeń urządzenia. Obejmuje następujące krytyczne scenariusze:

  • omijanie zabezpieczeń urządzenia,
  • zdalne wykonywanie dowolnego kodu na elementach systemu z najwyższymi uprawnieniami,
  • odblokowanie urządzenia i pełne wyciągnięcie danych użytkownika,
  • zdalna instalacja dowolnych aplikacji.

Program obejmuje obecnie 38 urządzeń mobilnych koreańskiego producenta, które otrzymują miesięczne i kwartalne aktualizacje zabezpieczeń oraz różne usługi Samsung Mobile, takie jak Bixby, Samsung Account, Samsung Pay i Samsung Pass.

Jakie pieniądze są do zdobycia?

Samsung znacząco zwiększył nagrody w ramach programu bug bounty, oferując nawet milion dolarów za odkrycie poważnych luk w zabezpieczeniach swoich urządzeń mobilnych.

Najwyższa nagroda w wysokości miliona dolarów została zarezerwowana za odkrycie zdalnej luki pozwalającej na wykonywanie dowolnego kodu w Knox Vault – bezpiecznym środowisku służącym do przechowywania wrażliwych danych. Inne znaczące nagrody to:

  • do 400 000 dolarów za zdalne wykonywanie kodu w TEEGRIS OS,
  • do 300 000 dolarów za zdalne wykonywanie kodu w Rich OS,
  • do 400 000 dolarów za odblokowanie urządzenia i pełne wyciągnięcie danych użytkownika przed pierwszym odblokowaniem.

Oto wszystkie stawki za odnalezione bugi:

Tabela z nagrodami za zdalne i lokalne wykonanie dowolnego kodu na celach uprzywilejowanych: Knox Vault – lokalne wykonanie: około 300 000 USD, zdalne wykonanie: około 1 000 000 USD; TEEGRIS OS – lokalne wykonanie: około 200 000 USD, zdalne wykonanie: około 400 000 USD; Rich OS – lokalne wykonanie: około 150 000 USD, zdalne wykonanie: około 300 000 USD.
Fot. Samsung.com / zrzut ekranu

Aby otrzymać nagrodę, zgłoszenie błędu musi zawierać działający exploit, który działa bez uprawnień na najnowszej aktualizacji bezpieczeństwa flagowych modeli, takich jak seria Galaxy S i Z.

Ile do tej pory zarobili programiści na odkrytych lukach?

Firma prowadzi program nagród za odkrywanie luk w zabezpieczeniach od 2016 roku, stale go aktualizując, aby obejmował nowe urządzenia i usługi. W 2023 roku w programie Mobile Security Rewards uczestniczyło 113 osób. Producent wypłacił im 827 925 dolarów za zgłoszenia błędów i luk zabezpieczeń.


Szykujesz się na powrót do szkoły? Poświęć chwilę, by podzielić się z nami informacjami o wyposażeniu dziecka w sprzęt i oprogramowanie niezbędne do nauki. Z góry dziękujemy!


Źródło: Bleeping Computer, Samsung. Zdjęcie otwierające: Samsung / materiały prasowe

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw