Samsung a lancé un nouveau programme de primes aux bogues pour ses appareils mobiles avec des récompenses allant jusqu’à 1 000 000 for pour les rapports démontrant des scénarios d’attaque critiques.

Le nouveau programme « Important Scenario Vulnerability Program (ISVP) » se concentre sur les vulnérabilités liées à l’exécution de code arbitraire, au déverrouillage des périphériques, à l’extraction de données, à l’installation arbitraire d’applications et au contournement des protections des périphériques.

Paiements en surbrillance
Knox Vault est l’environnement sécurisé isolé de Samsung pour stocker des informations biométriques sensibles et des clés cryptographiques sur des appareils mobiles. Les rapports réalisant une exécution arbitraire locale sur les appareils Samsung reçoivent 300 000 USD, tandis que l’exécution de code à distance (RCE) récompense 1 000 000 USD.

TEEGRIS OS est le système d’exploitation TEE (Trusted Execution Environment) de Samsung, qui fournit un environnement sécurisé et isolé du système d’exploitation principal pour exécuter du code sensible et traiter des données critiques, telles que les paiements et l’authentification.

L’exécution de code arbitraire local sur le système d’exploitation TEEGRIS rapporte 200 000 USD, tandis que les failles RCE rapportent jusqu’à 400 000 USD.

L’exécution de code local sur Rich OS, le principal système d’exploitation des appareils Samsung, paie 150 000$, tandis que les RCE dessus récompensent un maximum de 300 000$.

Les gains les plus élevés en EST VP

Le déverrouillage de l’appareil combiné à l’extraction complète des données utilisateur paie 400 000$, soit la moitié du montant s’il est atteint après le premier déverrouillage.

Un autre paiement remarquable est de 100 000 for pour l’installation arbitraire d’applications à distance à partir d’un marché non officiel ou du serveur d’un attaquant ou de 60 000 $si l’application est installée à partir du Galaxy Store. Les installations arbitraires locales paient respectivement 50 000 $et 30 000 respectively.

Pour réclamer des récompenses, les rapports de bogues doivent inclure un exploit à construire qui fonctionne sans privilèges de manière cohérente sur la dernière mise à jour de sécurité des modèles phares tels que les séries Galaxy S et Z.

Pour réclamer le maximum de récompenses, l’exploit doit être persistant et à 0 clic, ce qui signifie qu’il ne nécessite aucune interaction de l’utilisateur.

830 000 paid payés en 2023
Aujourd’hui, Samsung a également annoncé qu’en 2023, il avait payé 827 925 $à 113 chercheurs en sécurité participant à son programme Mobile Security Rewards pour leurs soumissions.

Depuis le lancement du programme en 2017, Samsung a versé plus de 4 900 000 bug en primes de bogues, la plus élevée étant de 120 000$. Le paiement record de l’année dernière était de 57 190$.

Le lancement de l’ISVP vise à battre ces records, en offrant de fortes incitations à recueillir des rapports sur des problèmes plus critiques ayant un impact sur les appareils Samsung.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *