Samsung запустила программу bug bounty

Южнокорейская компания Samsung запустила новую программу bug bounty для своих мобильных устройств. Вознаграждение за критические уязвимости может достигать $1 млн.

Программа получила название Important Scenario Vulnerability Program (ISVP). По словам представителей компании, она нацелена на уязвимости, связанные с выполнением произвольного кода, разблокировкой устройств, хищением данных, установкой произвольных приложений и обходом защиты устройства.

Самые большие вознаграждения выплатят за три вида багов: Knox Vault, TEEGRIS OS и Rich OS. Knox Vault — изолированная защищенная среда Samsung для хранения конфиденциальной биометрической информации и криптографических ключей на мобильных устройствах. За работающий эксплоит можно получить $300 тысяч, а за удаленное выполнение произвольного кода — до $1 млн.

TEEGRIS OS — операционная система Samsung Trusted Execution Environment (TEE), которая обеспечивает безопасную и изолированную от основной ОС среду для выполнения важного кода и обработки критически важных данных, включая платежи и аутентификацию. За локальное выполнение произвольного кода можно получить $200 тысяч, а за удаленное выполнение — до $400 тысяч.

Rich OS — основная операционная система на устройствах Samsung. За локальное выполнение кода можно получить $150 тысяч, а за удаленное — до $300 тысяч.

За разблокировку устройства в сочетании с полным извлечением пользовательских данных предлагается вознаграждение на уровне $400 тысяч.

$100 тысяч можно получить за удалённую установку произвольного приложения из неофициального магазина приложений или с сервера злоумышленника. За установку приложения из Galaxy Store вознаграждение составит $60 тысяч. 

Напомним, что ранее BI.ZONE Bug Bounty, занимающаяся независимыми исследованиями безопасности, вошла в реестр отечественного ПО в конце марта текущего года. Платформа BI.ZONE Bug Bounty объединяет багхантеров и крупнейшие бизнесы страны (например, Ozon, VK и «Тинькофф»). 

Благодаря BI.ZONE Bug Bounty компании узнают, действительно ли их внешняя инфраструктура хорошо защищена. Багхентеры же, в свою очередь, в ходе исследований прокачивают свой уровень и получают вознаграждение за обнаруженные уязвимости.