В минувший четверг состоялся официальный запуск программы bug bounty компании Samsung Electronics. Отныне исследователи смогут получить до 200 тыс долларов США за уязвимости, найденные в ее мобильных устройствах, программных продуктах и сервисах.

“Программа выплаты вознаграждений стартовала как пилотный проект в январе 2016 года с целью расширения эффективных и плодотворных связей с ИБ-сообществом, — сказано в пресс-релизе корейской компании. — Mobile Security Rewards Program компании Samsung — это новейшая инициатива, демонстрирующая горячее стремление компании обеспечить безопасность всех ее клиентов”.

Согласно описанию на сайте Samsung, изучению на предмет наличия брешей подлежат следующие продукты:

  • мобильные устройства с актуальными версиями Android и прошивок (серийные Galaxy S, Galaxy Note, Galaxy A, Galaxy J, Galaxy Tab);
  • активные сервисы компании, в том числе Bixby, Samsung Account, Samsung Pay, Samsung Pass;
  • приложения Samsung Mobile и сторонних разработчиков ПО, привязанного к ее продуктам.

“В зависимости от серьезности уязвимости размер вознаграждения будет варьироваться от $200 до $200 тыс. за отчет, получивший положительную оценку”, — пишет Samsung. Найденные бреши будут определяться как Critical, High, Moderate или Low (критические, высокой степени опасности, умеренно опасные, низкой степени опасности).

“Большие премии будут назначаться за уязвимости, имеющие высокую степень риска и воздействия, еще большие суммы будут присуждены за уязвимости, грозящие нарушением TEE (доверенной среды исполнения) или компрометацией программы начальной загрузки, — обещает инициатор новой bug bounty. — Вместе с тем размер вознаграждения может быть значительно сокращен, если использование бреши требует запуска привилегированного процесса”.

Выплат производиться не будет, если баг не влияет на кибербезопасность, требует чрезмерного взаимодействия с пользователем или физического доступа к устройству и профессиональных средств отладки, а также в тех случаях, когда сценарий атаки слишком сложен и эксплойт маловероятен.

При дублировании отчетов премируется тот исследователь, который сообщил об уязвимости раньше всех; на размер награды также влияет предоставление рабочего PoC (воспроизводимость).

Отчет можно подать через специальную форму на сайте Samsung Mobile. Здесь же приведены рекомендации по оформлению таких сообщений и классификация уязвимостей с критериями их оценки. По условиям новой bug bounty, публикация найденных брешей возможна лишь с разрешения инициатора программы.

Samsung также пообещала ответную реакцию в следующие сроки: отклик на отчет — в течение двух суток, выпуск соответствующего патча — в течение 90 дней.

Категории: Кибероборона, Уязвимости