🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Samsung treo thưởng 1.000.000 đô cho báo cáo RCE trên môi trường an toàn Knox Vault của Galaxy

07/08/2024

Samsung vừa triển khai chương trình bug bounty mới cho các thiết bị di động của mình với phần thưởng lên tới 1.000.000 đô la cho các báo cáo chỉ ra các trường hợp tấn công nghiêm trọng.

Chương trình 'Important Scenario Vulnerability Program (ISVP)' mới tập trung vào các lỗ hổng liên quan đến việc thực thi mã tùy ý, mở khóa thiết bị, trích xuất dữ liệu, cài đặt ứng dụng tùy ý và vượt qua các biện pháp bảo vệ thiết bị.

Các phần thưởng đáng chú ý

Knox Vault là môi trường an toàn biệt lập của Samsung để lưu trữ thông tin sinh trắc học nhạy cảm và khóa mật mã trên thiết bị di động. Báo cáo cho vấn đề thực thi tùy ý cục bộ trên thiết bị Samsung sẽ nhận được 300.000$, trong khi phần thưởng cho vấn đề thực thi mã từ xa (RCE) là 1.000.000$.

TEEGRIS OS là hệ điều hành Trusted Execution Environment (TEE) của Samsung, cung cấp môi trường an toàn, tách biệt khỏi hệ điều hành chính để thực thi mã nhạy cảm và xử lý dữ liệu quan trọng, chẳng hạn như thanh toán và xác thực.

Việc thực thi mã tùy ý cục bộ trên TEEGRIS OS được thưởng 200.000$, trong khi các lỗi RCE được thưởng 400.000$.

Thực thi mã cục bộ trên Rich OS, hệ điều hành chính trên các thiết bị Samsung, được thưởng 150.000 đô, RCE được thưởng tối đa 300.000 đô.

Các phần thưởng cao nhất trong ISVP (Samsung)

Mở khóa thiết bị kết hợp với trích xuất toàn bộ dữ liệu người dùng sẽ được thưởng 400.000 đô hoặc một nửa số tiền nếu đạt được sau lần mở khóa đầu tiên.

Ngoài ra, Samsung sẽ trả 100.000 đô tiêng thưởng cho việc cài đặt ứng dụng tùy ý từ xa từ một thị trường không chính thức hoặc máy chủ của kẻ tấn công hoặc 60.000 đô nếu ứng dụng được cài đặt từ Galaxy Store. Cài đặt tùy ý cục bộ được trả lần lượt là 50.000 đô và 30.000 đô.

Để nhận phần thưởng, báo cáo lỗi phải bao gồm một bản khai thác có thể xây dựng được, hoạt động mà không cần đặc quyền trên bản cập nhật bảo mật mới nhất của các mẫu thiết bị hàng đầu như dòng Galaxy S và Z.

Để nhận được phần thưởng tối đa, lỗ hổng phải phải có tính duy trì (persistent) và không yêu cầu bất kỳ tương tác nào từ người dùng (0-click).

Hơn 800.000 đô đã được thanh toán vào năm 2023

Mới đây, Samsung cũng thông báo rằng vào năm 2023, công ty đã trả cho 113 nhà nghiên cứu bảo mật tham gia chương trình Mobile Security Rewards 827.925 đô la cho các báo cáo của họ.

Kể từ khi chương trình bắt đầu vào năm 2017, Samsung đã trả hơn 4.900.000 đô la tiền thưởng cho các báo cáo lỗi, với mức cao nhất là 120.000 đô la. Khoản thanh toán kỷ lục năm ngoái là 57.190 đô la.

Việc ra mắt ISVP nhằm mục đích phá vỡ những kỷ lục đó, tạo động lực mạnh mẽ để thu thập báo cáo về những vấn đề nghiêm trọng hơn ảnh hưởng đến các thiết bị Samsung.

Nguồn: bleepingcomputer.com.

scrolltop