Fino ad un Milione di Dollari in ricompense! Il nuovo Bug Bounty di Samsung

Samsung sta lanciando un nuovo programma bug bounty per i suoi dispositivi mobili. La ricompensa per la scoperta di vulnerabilità critiche può raggiungere 1.000.000 di dollari.

Il nuovo programma si chiama Important Scenario Vulnerability Program (ISVP) e prende di mira le vulnerabilità associate all’esecuzione di codice arbitrario, allo sblocco del dispositivo, al furto di dati, all’installazione arbitraria di applicazioni e all’elusione della sicurezza del dispositivo.

I premi più alti vengono offerti ai ricercatori che troveranno i seguenti bug:

• Knox Vault è l’ambiente isolato e sicuro di Samsung per l’archiviazione di informazioni biometriche sensibili e chiavi crittografiche sui dispositivi mobili. L’azienda è disposta a pagare 300.000 dollari per un exploit funzionante per l’esecuzione locale di codice arbitrario sui dispositivi Samsung e fino a 1.000.000 di dollari per l’esecuzione remota di codice arbitrario.
• TEEGRIS OS è il sistema operativo Trusted Execution Environment (TEE) di Samsung, che fornisce un ambiente sicuro e isolato per l’esecuzione di codice critico e l’elaborazione di dati critici, inclusi pagamenti e autenticazione. La ricompensa per l’esecuzione locale di codice arbitrario nel sistema operativo TEEGRIS è di 200.000 dollari, mentre per l’esecuzione remota di codice arbitrario arriva fino a 400.000.
• Rich OS è il sistema operativo principale sui dispositivi Samsung. Gli esperti possono guadagnare 150.000 dollari per l’esecuzione di codice locale e fino a 300.000 dollari per RCE.

Per lo sblocco del dispositivo in combinazione con l’estrazione completa dei dati dell’utente, viene offerta una ricompensa di $ 400.000 (o la metà se le condizioni vengono soddisfatte dopo il primo sblocco del dispositivo).

Un’altra grossa ricompensa ammonta a 100.000 dollari per l’installazione remota di un’applicazione arbitraria da un negozio di applicazioni non ufficiale o dal server di un utente malintenzionato. Se l’applicazione è stata installata dal Galaxy Store, la ricompensa sarà di 60.000 dollari.

Per qualificarsi per i premi, i ricercatori devono accompagnare i loro rapporti con exploit funzionanti, che devono funzionare senza privilegi aggiuntivi sui dispositivi di punta dell’azienda (come Galaxy S e Z) con tutti gli aggiornamenti installati.

Per ottenere la massima ricompensa, l’exploit deve essere stabile e zero-click, ovvero non deve richiedere l’interazione dell’utente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks