Új elemmel bővítette a 2017 óta futó bug bounty projektjét a Samsung, a dél-koreai vállalat keretében akár 1 millió dollárt is fizet egy kritikus biztonsági hibáért

A gyártó mobil eszközeit érintő, Important Scenario Vulnerability Program (ISVP) nevű biztonsági kezdeményezése keretében akár 1 millió dollár is ütheti a markát annak az etikus hekkernek, aki a készülékek teljes átvételére alkalmas, kritikus minősítésű hibára bukkan – írja a Bitport.

Kapcsolódó

Az ISVP hibavadász projektje elsősorban

  • a tetszőleges kódfuttatással,
  • a készülékek feloldásával,
  • az adatok kinyerésével,
  • az alkalmazások telepítésével
  • és a készülék védelmének megkerülésével kapcsolatos sebezhetőségekre összpontosít.

Az ezekre épülő biztonsági jelentések honoráriuma 30 ezer és 1 millió dollár között mozog, a biztonsági rés jellege és súlyossága szerint. 

Elemzők szerint a cég Knox Vault nevű biztonsági platformjában található a legtöbb ilyen jellegű hiba. A Samsung ebben az elszigetelt, (elméletben) szuperbiztonságos környezetben tárolja a mobil eszközökön belül a felhasználók érzékeny biometrikus adatait, illetve a kriptográfiai kulcsokat. 

A hibajelentéseknek tartalmazniuk kell egy olyan exploitot (olyan szoftver vagy parancssorozat, amely alkalmas egy szoftverrendszer vagy hardver biztonsági résének, illetve hibájának kihasználására), amely következetesen, jogosultságok nélkül működik a zászlóshajó modellek, például a Galaxy S és Z sorozat legújabb biztonsági frissítésén.

Már hatalmas pénzeket fizettek ki

A Samsung az ISVP bejelentésével párhuzamosan nyilvánosságra hozta a 2017-től működtetett bug bounty programjának a  tavalyi és összesített statisztikáit, eszerint:

2023-ban 113 kutató osztozott 828 ezer dollárnyi kifizetésen és 57 ezer dollár volt a legnagyobb egyszeri jutalom.

2017 óta már 4,9 millió dollárt  fizettek ki a felfedezett biztonsági problémákra rámutató szakértőknek, az egyszeri kifizetés rekordja 120 ezer dollár volt.