Samsung telah meluncurkan program bug bounty baru untuk perangkat selulernya dengan hadiah hingga $1.000.000 untuk laporan yang menunjukkan skenario serangan kritis.
Program baru ‘Important Scenario Vulnerability Program (ISVP)’ berfokus pada kerentanan yang terkait dengan eksekusi kode arbitrer, pembukaan kunci perangkat, ekstraksi data, instalasi aplikasi arbitrer, dan melewati perlindungan perangkat.
Pembayaran yang disorot
Knox Vault adalah lingkungan aman milik Samsung yang terisolasi untuk menyimpan informasi biometrik sensitif dan kunci kriptografi pada perangkat seluler. Laporan yang mencapai eksekusi arbitrer lokal pada perangkat Samsung menerima $300.000, sementara eksekusi kode jarak jauh (RCE) memberikan hadiah $1.000.000.
TEEGRIS OS adalah sistem operasi Trusted Execution Environment (TEE) Samsung, yang menyediakan lingkungan aman dan terisolasi dari OS utama untuk mengeksekusi kode sensitif dan memproses data penting, seperti pembayaran dan autentikasi.
Eksekusi kode arbitrer lokal pada TEEGRIS OS menghasilkan $200.000, sementara kelemahan RCE menghasilkan hingga $400.000.
Eksekusi kode lokal pada Rich OS, sistem operasi utama pada perangkat Samsung, membayar $150.000, sementara RCE di atasnya memberi imbalan maksimum $300.000.
Sumber: Samsung
Pembukaan kunci perangkat yang dikombinasikan dengan ekstraksi data pengguna penuh akan menghasilkan $400.000, atau setengahnya jika dicapai setelah pembukaan kunci pertama.
Pembayaran lain yang patut dicatat adalah $100.000 untuk mendapatkan instalasi aplikasi acak dari jarak jauh dari pasar tidak resmi atau server penyerang atau $60.000 jika aplikasi diinstal dari Galaxy Store. Instalasi acak lokal membayar masing-masing $50.000 dan $30.000.
Untuk mengklaim hadiah, laporan bug harus menyertakan eksploitasi yang dapat dibangun yang bekerja tanpa hak istimewa secara konsisten pada pembaruan keamanan terbaru dari model unggulan seperti seri Galaxy S dan Z.
Untuk mengklaim hadiah maksimal, eksploitasi tersebut harus bersifat persisten dan 0-klik, artinya tidak memerlukan interaksi pengguna.
$830.000 dibayarkan pada tahun 2023
Hari ini, Samsung juga mengumumkan bahwa pada tahun 2023, pihaknya membayar 113 peneliti keamanan yang berpartisipasi dalam Program Hadiah Keamanan Seluler sebesar $827.925 untuk kiriman mereka.
Sejak program ini dimulai pada tahun 2017, Samsung telah membayar lebih dari $4.900.000 sebagai hadiah bug bounty, dengan jumlah tertinggi adalah $120.000. Pembayaran rekor tahun lalu adalah $57.190.
Itu peluncuran ISVP bertujuan untuk memecahkan rekor tersebut, memberikan insentif yang kuat untuk mengumpulkan laporan tentang masalah yang lebih kritis yang memengaruhi perangkat Samsung.
