Samsung, mobil güvenliği artırmaya yönelik devam eden çabalarının bir parçası olarak hata ödül programını önemli ölçüde artırdı.
Teknoloji devi, mobil cihazlarında kritik güvenlik açıklarını, özellikle de son derece ayrıcalıklı hedeflerde keyfi kod yürütmeyle ilgili olanları gösterebilecek araştırmacılara 1 milyon dolara kadar ödül teklif ediyor.
Samsung’un Önemli Senaryo Güvenlik Açığı Programı’nın (ISVP) bir parçası olan bu yeni girişim, ürünlerini önemli ölçüde etkileyebilecek güvenlik açıklarına odaklanıyor. Program özellikle aşağıdaki kritik senaryoları hedefliyor:
- Ayrıcalıklı hedeflerde keyfi kod çalıştırma.
- Cihaz kilidini açma ve kullanıcı verilerinin tamamını çıkarma.
- Keyfi uygulama kurulumu.
- Cihaz koruma çözümlerinin atlatılması.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
1 milyon dolarlık en yüksek ödül, Samsung’un hassas verileri depolamak için güvenli ortamı olan Knox Vault’u hedef alan uzaktan keyfi kod yürütme güvenlik açıkları için ayrılmıştır. Diğer önemli ödüller şunlardır:
- TEEGRIS OS’de uzaktan kod çalıştırma için 400.000 dolara kadar.
- Rich OS’de uzaktan kod çalıştırma için 300.000 dolara kadar.
- İlk kilidi açmadan önce cihazın kilidini açma ve tüm kullanıcı verilerinin çıkarılması için 400.000 dolara kadar.
Bu üst düzey ödüllere hak kazanmak için araştırmacıların birkaç kriteri karşılaması gerekiyor:
- Raporun İyi Rapor Primi şartlarını tam olarak karşılaması gerekmektedir.
- Bir veya daha fazla Önemli Senaryoya yönelik başarılı bir saldırıyı gösteren oluşturulabilir bir istismar ekleyin.
- Bu açığın en son çıkan amiral gemisi cihazların (Galaxy S ve Z serisi) son güvenlik güncellemelerinde tutarlı bir şekilde çalışması gerekiyor.
- Exploit’in ayrıcalıklara ihtiyaç duymadan çalıştırılabilmesi gerekiyor.
Samsung’un artan ödülleri, mobil güvenliğin artan önemini yansıtıyor giderek daha karmaşık siber tehditlerin yaşandığı bir çağSamsung, potansiyel saldırıları önlemek ve kullanıcıların verilerini korumak amacıyla güvenlik araştırmacılarını kritik güvenlik açıklarını bulup bildirmeye teşvik ediyor.
Bu hamle, Samsung’un mobil güvenliğe olan uzun süreli bağlılığıyla örtüşüyor. Şirket, 2016’dan beri Mobil Güvenlik Ödül Programını yürütüyor ve sürekli olarak yeni cihazları ve hizmetleri kapsayacak şekilde güncelliyor.
Program artık aylık ve üç aylık güvenlik güncellemeleri ve Bixby, Samsung Account, Samsung Pay ve Samsung Pass gibi çeşitli Samsung Mobil Hizmetleri alan 38 Samsung mobil cihazını kapsıyor.
Samsung, potansiyel ödülleri önemli ölçüde artırarak yalnızca ürünlerindeki güvenlik açıklarını tespit edecek daha fazla güvenlik araştırmacısının ilgisini çekmekle kalmıyor, aynı zamanda giderek karmaşıklaşan dijital dünyada mobil cihazlar için yüksek güvenlik standartlarını sürdürme konusundaki kararlılığını da gösteriyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide