Max Home IndustrySamsung объявила о программе Mobile Security Rewards Program, которая предусматривает вознаграждение в размере до 200 000 долларов за обнаружение уязвимостей в своих мобильных устройствах и сервисах и сообщение о них.
Программа вознаграждения за обнаружение ошибок распространяется на все мобильные устройства Samsung Galaxy, которые в настоящее время получают ежемесячные и ежеквартальные обновления безопасности, что дает в общей сложности 38 устройств, хотя это зависит от региона. Он также распространяется на мобильные службы Samsung, включая Bixby, Samsung Account, Samsung Pay и Samsung Pass.
Согласно пресс-релизу Samsung, программа Mobile Security Rewards вводится после запуска пилотного проекта в январе 2016 года, чтобы:
обеспечить эффективное и продуктивное знакомство с более широким сообществом специалистов по безопасности.
Уязвимости, отнесенные Samsung к четырем уровням серьезности: критический, высокий, средний и низкий, очень похожи на уязвимости в программе безопасности Android от Google.
Google предлагает до 200 000 долларов за отчет, содержащий эксплойт, ведущий к компрометации TEE (TrustZone). Аналогичная сумма была объявлена высшим вознаграждением, предложенным Apple, когда в прошлом году она запустила программу вознаграждений только по приглашениям.
Денежные средства, предлагаемые Samsung, кажутся эквивалентными, и, как и Google и Apple, сумма оплаты за любую обнаруженную ошибку остается на усмотрение компании. Samsung заявляет:
В зависимости от уровня серьезности уязвимости сумма вознаграждения будет варьироваться от 200 до 200 000 долларов США за квалифицированные отчеты. Пожалуйста, поймите, что отчеты, не влияющие на безопасность, вознаграждены не будут.
а также оговаривается, что угроза безопасности и влияние обнаруженной ошибки:
будет принято внутренней оценкой компании Samsung по ее собственному усмотрению.
Также необходимо учитывать следующие условия:
Если Отчет не содержит действительного Proof-of-Concept, квалификация вознаграждения будет определяться в соответствии с воспроизводимостью и серьезностью уязвимости, и сумма вознаграждения может быть значительно уменьшена.
Более высокая сумма вознаграждения будет предложена за уязвимости с большим риском и воздействием на безопасность, и еще более высокая сумма вознаграждения будет предложена за уязвимости, которые приводят к компрометации TEE или загрузчика. С другой стороны, размер вознаграждения может быть значительно уменьшен, если уязвимость системы безопасности требует запуска в качестве привилегированного процесса.
Наличие еще одной программы вознаграждений звучит как хорошая новость для исследователей безопасности, а также для конечных пользователей устройств Galaxy, которые могут быть более уверены в том, что их телефоны менее подвержены опасным рискам для безопасности.