三星公司為了提高旗下 Galaxy 設(shè)備的安全性,推出了全新的 ISVP 漏洞懸賞計劃,最高懸賞金額達(dá)到 100 萬美元(IT之家備注:當(dāng)前約 715.4 萬元人民幣)。
ISVP 的全稱是 Important Scenario Vulnerability Program,直譯為重要場景漏洞計劃,主要關(guān)注任意代碼執(zhí)行、解鎖設(shè)備、數(shù)據(jù)提取、任意應(yīng)用程序安裝和繞過設(shè)備保護(hù)相關(guān)的漏洞。
高額懸賞
Knox Vault
Knox Vault 是三星用于在移動設(shè)備上存儲敏感生物識別信息和加密密鑰的隔離安全環(huán)境。
如果有安全專家報告在三星設(shè)備上實現(xiàn)本地任意執(zhí)行漏洞,可獲得 30 萬美元獎勵,而遠(yuǎn)程代碼執(zhí)行(RCE)則可獲得 100 萬美元獎勵。
TEEGRIS OS
TEEGRIS OS 是三星的可信執(zhí)行環(huán)境(TEE)操作系統(tǒng),它提供了一個與主操作系統(tǒng)隔離的安全環(huán)境,用于執(zhí)行敏感代碼和處理關(guān)鍵數(shù)據(jù),如支付和身份驗證。
安全專家在 TEEGRIS 操作系統(tǒng)上執(zhí)行本地任意代碼可獲得 20 萬美元,而 RCE 缺陷可獲得高達(dá) 40 萬美元。
Rich OS
在三星設(shè)備的主要操作系統(tǒng) Rich OS 上執(zhí)行本地代碼可獲得 150,000 美元的獎勵,而在 Rich OS 上執(zhí)行 RCE 最高可獲得 300,000 美元的獎勵。
解鎖
設(shè)備解鎖與完整用戶數(shù)據(jù)提取相結(jié)合的漏洞,三星會支付 40 萬美元,如果在第一次解鎖后實現(xiàn),則支付一半的金額。
應(yīng)用安裝
從非官方市場或攻擊者的服務(wù)器上安裝遠(yuǎn)程任意應(yīng)用程序可獲得 10 萬美元的報酬,而從 Galaxy Store 安裝應(yīng)用程序則可獲得 6 萬美元的報酬。本地任意安裝的獎金分別為 5 萬美元和 3 萬美元。
2023 年三星累計支付 83 萬美元
三星公司今天還宣布,在 2023 年共計向參加其移動安全獎勵計劃的 113 名安全研究人員支付 827925 美元的獎勵。
自 2017 年該計劃啟動以來,三星已經(jīng)支付了超過 490 萬美元的漏洞賞金獎勵,其中最高的一筆為 12 萬美元;去年支付的最高紀(jì)錄是 57190 美元。