Samsung, mobil cihazlarına yönelik kritik saldırı senaryolarını gösteren raporlara 1.000.000 dolara kadar ödül veren yeni bir hata ödül programı başlattı.
Yeni ‘Önemli Senaryo Güvenlik Açığı Programı (ISVP)’ programı, keyfi kod çalıştırma, cihazların kilidini açma, veri çıkarma, keyfi uygulama yükleme ve cihaz korumalarını aşma ile ilgili güvenlik açıklarına odaklanıyor.
Vurgulanan ödemeler
Knox Vault, Samsung’un mobil cihazlarda hassas biyometrik bilgileri ve kriptografik anahtarları depolamak için izole edilmiş güvenli ortamıdır. Samsung cihazlarında yerel keyfi yürütmeyi başaran raporlar 300.000 $ alırken, uzaktan kod yürütme (RCE) 1.000.000 $ ödül verir.
TEEGRIS OS, ödemeler ve kimlik doğrulama gibi hassas kodları çalıştırmak ve kritik verileri işlemek için ana işletim sisteminden güvenli ve izole bir ortam sağlayan Samsung’un Güvenilir Yürütme Ortamı (TEE) işletim sistemidir.
TEEGRIS OS’de yerel keyfi kod çalıştırmanın getirisi 200.000 dolar iken, RCE kusurları 400.000 dolara kadar çıkıyor.
Samsung cihazlarındaki birincil işletim sistemi olan Rich OS’de yerel kod çalıştırma için 150.000 dolar, üzerindeki RCE’ler için ise maksimum 300.000 dolar ödül veriliyor.
Cihaz kilidi açma ve kullanıcı verilerinin tamamının çıkarılmasının ardından 400.000 dolar ödeniyor; bu tutar, ilk kilit açma işleminden sonra gerçekleştirilirse yarısı kadar oluyor.
Dikkat çekici bir diğer ödeme ise resmi olmayan bir pazaryerinden veya bir saldırganın sunucusundan uzaktan keyfi uygulama kurulumu elde etmek için 100.000$ veya uygulama Galaxy Store’dan kurulursa 60.000$’dır. Yerel keyfi kurulumlar sırasıyla 50.000$ ve 30.000$ öder.
Ödülleri talep etmek için hata raporlarının, Galaxy S ve Z serisi gibi amiral gemisi modellerin son güvenlik güncellemesinde ayrıcalıklara ihtiyaç duymadan tutarlı bir şekilde çalışan oluşturulabilir bir açığı içermesi gerekir.
Maksimum ödülleri talep etmek için, istismarın kalıcı olması ve 0 tıklamalı olması, yani kullanıcı etkileşimi gerektirmemesi gerekir.
2023’te 830.000 dolar ödendi
Samsung bugün ayrıca 2023 yılında Mobil Güvenlik Ödül Programı’na katılan 113 güvenlik araştırmacısına başvuruları karşılığında 827.925 dolar ödediğini duyurdu.
Program 2017’de başladığından beri Samsung, en yükseği 120.000 dolar olmak üzere 4.900.000 dolardan fazla hata ödülü ödedi. Geçtiğimiz yılki rekor ödeme 57.190 dolardı.
ISVP’nin lansmanı, bu rekorları kırmayı ve Samsung cihazlarını etkileyen daha kritik sorunlarla ilgili raporların toplanması için güçlü teşvikler sağlamayı amaçlıyor.