导语:新的“重要场景漏洞计划(ISVP)”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。
三星为其移动设备推出了一项新的漏洞赏金计划,将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。
新的“重要场景漏洞计划(ISVP)”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。
重点支出
Knox Vault 是三星的独立安全环境,用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励,而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。
TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统,它提供了一个与主操作系统安全隔离的环境,以执行敏感代码并处理关键数据,例如支付和身份验证。
TEEGRIS OS 上的本地任意代码执行可获 20 万美元,而 RCE 漏洞可获最高 40 万美元。Rich OS(三星设备的主要操作系统)上的本地代码执行可获 15 万美元,而 RCE 漏洞最高可获 30 万美元。
ISVP 中的最高支出
设备解锁加上完整的用户数据提取将支付 400,000 美元,如果在第一次解锁后实现则支付一半的金额。
另一项值得关注的奖励是,如果从非官方市场或攻击者的服务器实现远程任意应用程序安装,则可获得 100,000 美元,如果从 Galaxy Store 安装应用程序,则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。
要领取奖励,漏洞报告必须包含可构建的漏洞利用程序,该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗舰机型的最新安全更新中持续运行,且无需特权。
要领取最高奖励,漏洞利用程序必须持久且无需点击,这意味着它不需要用户交互。
2023 年支付 83 万美元
本周,三星还宣布,它向在2023 年参与其移动安全奖励计划的 113 名安全研究人员支付 827,925 美元作为其提交内容的报酬。
据统计,自 2017 年该计划启动以来,三星已支付了超过 4,900,000 美元的漏洞赏金,最高金额为 120,000 美元。去年的最高支付额为 57,190 美元。
ISVP 的推出旨在打破这些记录,以提供强有力的激励来收集影响三星设备的更多严重问题的报告。
文章翻译自:https://www.bleepingcomputer.com/news/security/samsung-to-pay-1-000-000-for-rces-on-galaxys-secure-vault/如若转载,请注明原文地址
.webp.png)