Samsung ha lanzado un nuevo programa de recompensas por búsqueda de errores para fomentar los informes sobre vulnerabilidades de seguridad en su gama de dispositivos móviles.
Las recompensas por ejecución arbitraria local rondan los $300,000, mientras que la ejecución remota de código (RCE) verá una recompensa de $1,000,000.
El 'Programa de vulnerabilidad de escenarios importantes (ISVP)' hará que la gente busque exploits relacionados con el desbloqueo de dispositivos, la extracción de datos y la evasión de la protección de dispositivos.
Dinero dinero dinero
En el caso del sistema operativo Rich de Samsung, las fallas de ejecución de código local se pagarán por 150.000 dólares y las RCE alcanzarán un pago máximo de 300.000 dólares. Los informes de extracción de datos exitosa en el primer desbloqueo se traducirán en una recompensa de 400.000 dólares, que se reduce a 200.000 dólares si la extracción se logra después del primer desbloqueo.
Las recompensas máximas requieren que la vulnerabilidad sea persistente y no requiera hacer clic. Otras recompensas con un pago menor incluyen la instalación remota de aplicaciones arbitrarias desde un mercado no oficial o un servidor de un atacante, que recibirá una recompensa de $100,000, y $60,000 si se instala desde Galaxy Store.
Para que un informe se considere exitoso, las vulnerabilidades deben ser un exploit compilable que funcione sin privilegios de manera consistente en los principales modelos de dispositivos Samsung que ejecutan la última actualización de seguridad.
Samsung también reveló Samsung pagó 827.925 dólares como parte del programa de recompensas por errores de 2023, en el que participaron 113 investigadores de seguridad. Hasta ahora, todos los programas de recompensas por errores de Samsung desde 2017 han pagado más de 4,9 millones de dólares.
A través de Computadora que emite pitidos