Samsung vừa triển khai chương trình bug bounty mới cho các thiết bị di động của mình với phần thưởng lên tới 1.000.000 đô la cho các báo cáo chỉ ra các trường hợp tấn công nghiêm trọng.
Chương trình 'Important Scenario Vulnerability Program (ISVP)' mới tập trung vào các lỗ hổng liên quan đến việc thực thi mã tùy ý, mở khóa thiết bị, trích xuất dữ liệu, cài đặt ứng dụng tùy ý và vượt qua các biện pháp bảo vệ thiết bị.
Các phần thưởng đáng chú ý
Knox Vault là môi trường an toàn biệt lập của Samsung để lưu trữ thông tin sinh trắc học nhạy cảm và khóa mật mã trên thiết bị di động. Báo cáo cho vấn đề thực thi tùy ý cục bộ trên thiết bị Samsung sẽ nhận được 300.000$, trong khi phần thưởng cho vấn đề thực thi mã từ xa (RCE) là 1.000.000$.
TEEGRIS OS là hệ điều hành Trusted Execution Environment (TEE) của Samsung, cung cấp môi trường an toàn, tách biệt khỏi hệ điều hành chính để thực thi mã nhạy cảm và xử lý dữ liệu quan trọng, chẳng hạn như thanh toán và xác thực.
Việc thực thi mã tùy ý cục bộ trên TEEGRIS OS được thưởng 200.000$, trong khi các lỗi RCE được thưởng 400.000$.
Thực thi mã cục bộ trên Rich OS, hệ điều hành chính trên các thiết bị Samsung, được thưởng 150.000 đô, RCE được thưởng tối đa 300.000 đô.
Các phần thưởng cao nhất trong ISVP (Samsung)
Mở khóa thiết bị kết hợp với trích xuất toàn bộ dữ liệu người dùng sẽ được thưởng 400.000 đô hoặc một nửa số tiền nếu đạt được sau lần mở khóa đầu tiên.
Ngoài ra, Samsung sẽ trả 100.000 đô tiêng thưởng cho việc cài đặt ứng dụng tùy ý từ xa từ một thị trường không chính thức hoặc máy chủ của kẻ tấn công hoặc 60.000 đô nếu ứng dụng được cài đặt từ Galaxy Store. Cài đặt tùy ý cục bộ được trả lần lượt là 50.000 đô và 30.000 đô.
Để nhận phần thưởng, báo cáo lỗi phải bao gồm một bản khai thác có thể xây dựng được, hoạt động mà không cần đặc quyền trên bản cập nhật bảo mật mới nhất của các mẫu thiết bị hàng đầu như dòng Galaxy S và Z.
Để nhận được phần thưởng tối đa, lỗ hổng phải phải có tính duy trì (persistent) và không yêu cầu bất kỳ tương tác nào từ người dùng (0-click).
Hơn 800.000 đô đã được thanh toán vào năm 2023
Mới đây, Samsung cũng thông báo rằng vào năm 2023, công ty đã trả cho 113 nhà nghiên cứu bảo mật tham gia chương trình Mobile Security Rewards 827.925 đô la cho các báo cáo của họ.
Kể từ khi chương trình bắt đầu vào năm 2017, Samsung đã trả hơn 4.900.000 đô la tiền thưởng cho các báo cáo lỗi, với mức cao nhất là 120.000 đô la. Khoản thanh toán kỷ lục năm ngoái là 57.190 đô la.
Việc ra mắt ISVP nhằm mục đích phá vỡ những kỷ lục đó, tạo động lực mạnh mẽ để thu thập báo cáo về những vấn đề nghiêm trọng hơn ảnh hưởng đến các thiết bị Samsung.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một lỗ hổng zero-day mới cho phép thực thi mã từ xa mà không yêu cầu xác thực đã được phát hiện trong hệ thống lập kế hoạch nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz.
Tín nhiệm mạng | Một lỗi thiết kế trong Windows Smart App Control và SmartScreen cho phép kẻ tấn công khởi chạy chương trình mà không kích hoạt cảnh báo bảo mật đã bị khai thác kể từ ít nhất năm 2018.
Tín nhiệm mạng | Các bản cập nhật bảo mật Android tháng này đã vá 46 lỗ hổng, bao gồm lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã bị khai thác trong các cuộc tấn công có chủ đích.
Tín nhiệm mạng | Một chiến dịch ransomware Magniber lớn đang diễn ra, mã hóa thiết bị của người dùng gia đình trên toàn thế giới và yêu cầu khoản tiền chuộc lên đến hàng nghìn đô la.
Tín nhiệm mạng | Twilio cuối cùng đã khai tử ứng dụng Authy dành cho máy tính để bàn, buộc người dùng phải đăng xuất khỏi ứng dụng trên máy tính để bàn của họ.
Tín nhiệm mạng | Một chiến dịch độc hại nhắm vào các thiết bị Android trên toàn thế giới sử dụng hàng nghìn bot Telegram để lây nhiễm phần mềm độc hại đánh cắp tin nhắn SMS vào các thiết bị nhằm đánh cắp các mã xác thực một lần (OTP) cho hơn 600 dịch vụ.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
