Új elemmel bővítette a 2017 óta futó bug bounty projektjét a Samsung, a dél-koreai vállalat keretében akár 1 millió dollárt is fizet egy kritikus biztonsági hibáért
A gyártó mobil eszközeit érintő, Important Scenario Vulnerability Program (ISVP) nevű biztonsági kezdeményezése keretében akár 1 millió dollár is ütheti a markát annak az etikus hekkernek, aki a készülékek teljes átvételére alkalmas, kritikus minősítésű hibára bukkan – írja a Bitport.
Az ISVP hibavadász projektje elsősorban
- a tetszőleges kódfuttatással,
- a készülékek feloldásával,
- az adatok kinyerésével,
- az alkalmazások telepítésével
- és a készülék védelmének megkerülésével kapcsolatos sebezhetőségekre összpontosít.
Az ezekre épülő biztonsági jelentések honoráriuma 30 ezer és 1 millió dollár között mozog, a biztonsági rés jellege és súlyossága szerint.
Elemzők szerint a cég Knox Vault nevű biztonsági platformjában található a legtöbb ilyen jellegű hiba. A Samsung ebben az elszigetelt, (elméletben) szuperbiztonságos környezetben tárolja a mobil eszközökön belül a felhasználók érzékeny biometrikus adatait, illetve a kriptográfiai kulcsokat.
A hibajelentéseknek tartalmazniuk kell egy olyan exploitot (olyan szoftver vagy parancssorozat, amely alkalmas egy szoftverrendszer vagy hardver biztonsági résének, illetve hibájának kihasználására), amely következetesen, jogosultságok nélkül működik a zászlóshajó modellek, például a Galaxy S és Z sorozat legújabb biztonsági frissítésén.
Már hatalmas pénzeket fizettek ki
A Samsung az ISVP bejelentésével párhuzamosan nyilvánosságra hozta a 2017-től működtetett bug bounty programjának a tavalyi és összesített statisztikáit, eszerint:
2023-ban 113 kutató osztozott 828 ezer dollárnyi kifizetésen és 57 ezer dollár volt a legnagyobb egyszeri jutalom.
2017 óta már 4,9 millió dollárt fizettek ki a felfedezett biztonsági problémákra rámutató szakértőknek, az egyszeri kifizetés rekordja 120 ezer dollár volt.