三星公司为了提高旗下 Galaxy 设备的安全性,推出了全新的 ISVP 漏洞悬赏计划,最高悬赏金额达到 100 万美元(IT之家备注:当前约 715.4 万元人民币)。
ISVP 的全称是 Important Scenario Vulnerability Program,直译为重要场景漏洞计划,主要关注任意代码执行、解锁设备、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。
高额悬赏
Knox Vault
Knox Vault 是三星用于在移动设备上存储敏感生物识别信息和加密密钥的隔离安全环境。
如果有安全专家报告在三星设备上实现本地任意执行漏洞,可获得 30 万美元奖励,而远程代码执行(RCE)则可获得 100 万美元奖励。
TEEGRIS OS
TEEGRIS OS 是三星的可信执行环境(TEE)操作系统,它提供了一个与主操作系统隔离的安全环境,用于执行敏感代码和处理关键数据,如支付和身份验证。
安全专家在 TEEGRIS 操作系统上执行本地任意代码可获得 20 万美元,而 RCE 缺陷可获得高达 40 万美元。
Rich OS
在三星设备的主要操作系统 Rich OS 上执行本地代码可获得 150,000 美元的奖励,而在 Rich OS 上执行 RCE 最高可获得 300,000 美元的奖励。
解锁
设备解锁与完整用户数据提取相结合的漏洞,三星会支付 40 万美元,如果在第一次解锁后实现,则支付一半的金额。
应用安装
从非官方市场或攻击者的服务器上安装远程任意应用程序可获得 10 万美元的报酬,而从 Galaxy Store 安装应用程序则可获得 6 万美元的报酬。本地任意安装的奖金分别为 5 万美元和 3 万美元。
2023 年三星累计支付 83 万美元
三星公司今天还宣布,在 2023 年共计向参加其移动安全奖励计划的 113 名安全研究人员支付 827925 美元的奖励。
自 2017 年该计划启动以来,三星已经支付了超过 490 万美元的漏洞赏金奖励,其中最高的一笔为 12 万美元;去年支付的最高纪录是 57190 美元。
