(https://i.postimg.cc/PNGBMmCd/samsung-galaxy.png) (https://postimages.org/)
Samsung ha lanzado un nuevo programa de recompensas por errores para sus dispositivos móviles con recompensas de hasta $1,000,000 por informes que demuestren escenarios de ataque críticos.
El nuevo programa 'Important Scenario Vulnerability Program (ISVP)' se centra en vulnerabilidades relacionadas con la ejecución de código arbitrario, el desbloqueo de dispositivos, la extracción de datos, la instalación de aplicaciones arbitrarias y la elusión de las protecciones de los dispositivos.
Pagos destacados
Knox Vault es el entorno seguro aislado de Samsung para almacenar información biométrica confidencial y claves criptográficas en dispositivos móviles. Los informes que logren una ejecución arbitraria local en dispositivos Samsung reciben $300,000, mientras que la ejecución de código remoto (RCE) recompensa $1,000,000.
TEEGRIS OS es el sistema operativo Trusted Execution Environment (TEE) de Samsung, que proporciona un entorno seguro y aislado del sistema operativo principal para ejecutar código confidencial y procesar datos críticos, como pagos y autenticación.
La ejecución local de código arbitrario en TEEGRIS OS paga 200.000 dólares, mientras que las fallas RCE generan hasta 400.000 dólares.
La ejecución local de código en Rich OS, el sistema operativo principal de los dispositivos Samsung, paga 150.000 dólares, mientras que las RCE en él otorgan un máximo de 300.000 dólares.
Los pagos más altos en ISVP
(https://i.postimg.cc/dtrQjGHY/The-highest-payouts-in-ISVP.png) (https://postimages.org/)
Los desbloqueos de dispositivos combinados con la extracción completa de datos del usuario pagan $400,000, o la mitad de la cantidad si se logra después del primer desbloqueo.
Otro pago notable es de $100,000 por lograr la instalación remota de una aplicación arbitraria desde un mercado no oficial o el servidor de un atacante o $60,000 si la aplicación se instala desde Galaxy Store. Las instalaciones arbitrarias locales pagan $50k y $30k, respectivamente.
Para reclamar las recompensas, los informes de errores deben incluir un exploit compilable que funcione sin privilegios de manera constante en la última actualización de seguridad de los modelos insignia, como las series Galaxy S y Z.
Para reclamar las recompensas máximas, el exploit debe ser persistente y de 0 clics, lo que significa que no requiere interacción del usuario.
$830,000 pagados en 2023
Hoy, Samsung también anunció que en 2023 pagó a 113 investigadores de seguridad que participan en su Programa de recompensas de seguridad móvil $827,925 por sus presentaciones.
Desde que comenzó el programa en 2017, Samsung ha pagado más de 4.900.000 dólares en recompensas por errores, siendo la cifra más alta de 120.000 dólares. El año pasado, el pago récord fue de 57.190 dólares.
El lanzamiento de ISVP tiene como objetivo romper esos récords, ofreciendo fuertes incentivos para recopilar informes sobre problemas más críticos que afecten a los dispositivos Samsung.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/samsung-to-pay-1-000-000-for-rces-on-galaxys-secure-vault/