サムスンは、重要な攻撃シナリオを実証する報告に対して最高100万ドルの報奨金を提供する、モバイル機器向けの新しいバグ報奨金プログラムを開始した。
新しい「重要シナリオ脆弱性プログラム(ISVP)」プログラムは、任意のコード実行、デバイスのロック解除、データ抽出、任意のアプリケーションのインストール、およびデバイス保護のバイパスに関する脆弱性に焦点を当てています。
ハイライト
Knox Vault は、サムスンがモバイル・デバイス上に機密性の高いバイオメトリクス情報や暗号鍵を保存するための隔離されたセキュアな環境です。サムスン・デバイス上でローカルの任意実行を達成した報告には300,000ドル、リモート・コード実行(RCE)には1,000,000ドルの報酬が支払われます。
TEEGRIS OSは、サムスンのTrusted Execution Environment(TEE)オペレーティング・システムであり、機密コードを実行し、決済や認証などの重要なデータを処理するために、メインOSから分離された安全な環境を提供します。
TEEGRIS OS上でのローカルな任意のコード実行は$200,000、RCEの欠陥は最高$400,000を支払う。
サムスン製デバイスの主要OSであるRich OSのローカルコード実行は150,000ドル、RCEは最高300,000ドル。
デバイスのアンロックと完全なユーザーデータ抽出を組み合わせると40万ドル、最初のアンロック後に達成した場合はその半額が支払われる。
もう1つの注目すべき報酬は、非公式マーケットプレイスまたは攻撃者のサーバーからリモートで任意のアプリケーションをインストールした場合の100,000ドル、またはアプリがGalaxy Storeからインストールされた場合の60,000ドルです。ローカルでの任意のインストールには、それぞれ5万ドルと3万ドルが支払われる。
報酬を請求するには、バグレポートに、Galaxy SやZシリーズなどのフラッグシップモデルの最新のセキュリティアップデートで一貫して特権なしで動作するビルド可能なエクスプロイトを含める必要があります。
最大限の報酬を請求するためには、エクスプロイトは永続的で、0クリック、つまりユーザーの操作を必要としないものでなければならない。
2023年に83万ドルを支払う
本日、サムスンはまた、2023年に、モバイル・セキュリティ報奨金プログラムに参加している113人のセキュリティ研究者に対し、彼らの投稿に対して827,925ドルを支払ったことを発表した。
2017年のプログラム開始以来、サムスンは490万ドル以上のバグ報奨金を支払っており、最高額は12万ドルだった。昨年の最高支払額は57,190ドルだった。
ISVPの開始は、これらの記録を塗り替えることを目的としており、サムスン製デバイスに影響を与えるより重大な問題の報告を集めるための強力なインセンティブを提供する。
Comments