Samsung запустила программу bug bounty для мобильных устройств с выплатой до $1 млн

Samsung анонсировала новую программу bug bounty для своих мобильных устройств. Вознаграждение за критические уязвимости может достигать $1 млн.

Программа под названием Important Scenario Vulnerability Program (ISVP) нацелена на уязвимости, связанные с выполнением произвольного кода, разблокировкой устройств, хищением данных, установкой произвольных приложений и обходом защиты устройства.

Самые большие вознаграждения выплатят за следующие баги:

• Knox Vault — изолированная защищённая среда Samsung для хранения конфиденциальной биометрической информации и криптографических ключей на мобильных устройствах. За работающий эксплоит можно получить $300 тысяч, а за а  за удалённое выполнение произвольного кода — до $1 млн;

• TEEGRIS OS — операционная система Samsung Trusted Execution Environment (TEE), которая обеспечивает безопасную и изолированную от основной ОС среду для выполнения важного кода и обработки критически важных данных, включая платежи и аутентификацию. За локальное выполнение произвольного кода можно получить $200 тысяч, а за удалённое выполнение — до $400 тысяч;

• Rich OS — основная операционная система на устройствах Samsung. За локальное выполнение кода можно получить $150 тысяч, а за удалённое — до $300 тысяч.

За разблокировку устройства в сочетании с полным извлечением пользовательских данных предлагается вознаграждение на уровне $400 тысяч.

$100 тысяч можно получить за удалённую установку произвольного приложения из неофициального магазина приложений или с сервера злоумышленника. За установку приложения из Galaxy Store вознаграждение составит $60 тысяч.

Отчёты исследователей должны сопровождаться работающими эксплойтами, которые должны функционировать без дополнительных привилегий на флагманских моделях устройств, таких как Galaxy S и Z, со всеми установленными обновлениями. Для получения максимального вознаграждения нужно предоставить эксплойт типа zero-click.

В июле Google объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях, в рамках программы вознаграждения за уязвимости. Теперь их максимальный размер составит $151 515.