三星推出百万美元漏洞赏金计划

三星推出了一项新的漏洞赏金计划,即“重要场景漏洞计划 (ISVP)”,发现其移动设备中的关键漏洞的奖励高达 1,000,000 美元。该计划针对与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的缺陷。

一个重要的焦点是三星的Knox Vault,它可以保护敏感的生物识别数据和加密密钥。在Knox Vault中执行本地任意代码将吸引300,000美元,而在同一环境中执行远程代码(RCE)可以赚取1,000,000美元。对于三星的可信执行环境TEEGRIS OS中的漏洞,也提供了类似的奖励,本地代码执行问题支付200,000美元,RCE支付高达400,000美元。

此外,在主要Rich OS上的本地代码执行将获得150,000美元,RCE将获得300,000美元。其他值得注意的奖励包括将设备解锁与完整数据提取相结合的400,000美元,以及高达100,000美元的远程任意应用程序安装。高额赔付是为在Galaxy S和Z系列等最新旗舰型号上没有权限运行并且不需要用户交互的漏洞利用而保留的。来源