三星重金提高 Galaxy 設(shè)備安全，最高懸賞 100 萬(wàn)美元

　　三星公司為了提高旗下 Galaxy 設(shè)備的安全性，推出了全新的 ISVP 漏洞懸賞計(jì)劃，最高懸賞金額達(dá)到 100 萬(wàn)美元(IT之家備注：當(dāng)前約 715.4 萬(wàn)元人民幣)。

　　ISVP 的全稱(chēng)是 Important Scenario Vulnerability Program，直譯為重要場(chǎng)景漏洞計(jì)劃，主要關(guān)注任意代碼執(zhí)行、解鎖設(shè)備、數(shù)據(jù)提取、任意應(yīng)用程序安裝和繞過(guò)設(shè)備保護(hù)相關(guān)的漏洞。

　　高額懸賞

　　Knox Vault

　　Knox Vault 是三星用于在移動(dòng)設(shè)備上存儲(chǔ)敏感生物識(shí)別信息和加密密鑰的隔離安全環(huán)境。

　　如果有安全專(zhuān)家報(bào)告在三星設(shè)備上實(shí)現(xiàn)本地任意執(zhí)行漏洞，可獲得 30 萬(wàn)美元獎(jiǎng)勵(lì)，而遠(yuǎn)程代碼執(zhí)行(RCE)則可獲得 100 萬(wàn)美元獎(jiǎng)勵(lì)。

　　TEEGRIS OS

　　TEEGRIS OS 是三星的可信執(zhí)行環(huán)境(TEE)操作系統(tǒng)，它提供了一個(gè)與主操作系統(tǒng)隔離的安全環(huán)境，用于執(zhí)行敏感代碼和處理關(guān)鍵數(shù)據(jù)，如支付和身份驗(yàn)證。

　　安全專(zhuān)家在 TEEGRIS 操作系統(tǒng)上執(zhí)行本地任意代碼可獲得 20 萬(wàn)美元，而 RCE 缺陷可獲得高達(dá) 40 萬(wàn)美元。

　　Rich OS

　　在三星設(shè)備的主要操作系統(tǒng) Rich OS 上執(zhí)行本地代碼可獲得 150,000 美元的獎(jiǎng)勵(lì)，而在 Rich OS 上執(zhí)行 RCE 最高可獲得 300,000 美元的獎(jiǎng)勵(lì)。

　　解鎖

　　設(shè)備解鎖與完整用戶(hù)數(shù)據(jù)提取相結(jié)合的漏洞，三星會(huì)支付 40 萬(wàn)美元，如果在第一次解鎖后實(shí)現(xiàn)，則支付一半的金額。

　　應(yīng)用安裝

　　從非官方市場(chǎng)或攻擊者的服務(wù)器上安裝遠(yuǎn)程任意應(yīng)用程序可獲得 10 萬(wàn)美元的報(bào)酬，而從 Galaxy Store 安裝應(yīng)用程序則可獲得 6 萬(wàn)美元的報(bào)酬。本地任意安裝的獎(jiǎng)金分別為 5 萬(wàn)美元和 3 萬(wàn)美元。

　　2023 年三星累計(jì)支付 83 萬(wàn)美元

　　三星公司今天還宣布，在 2023 年共計(jì)向參加其移動(dòng)安全獎(jiǎng)勵(lì)計(jì)劃的 113 名安全研究人員支付 827925 美元的獎(jiǎng)勵(lì)。

　　自 2017 年該計(jì)劃啟動(dòng)以來(lái)，三星已經(jīng)支付了超過(guò) 490 萬(wàn)美元的漏洞賞金獎(jiǎng)勵(lì)，其中最高的一筆為 12 萬(wàn)美元;去年支付的最高紀(jì)錄是 57190 美元。