Hlavní navigace

Samsung vyhlašuje Bug Bounty Program s odměnami až 200 tisíc dolarů

David Ježek

Jihokorejský gigant se připojuje k řadě jiných firem, které vyplácejí odměny hackerům za nalezené chyby. Samsung Mobile Security Rewards Program se týká nejen firemních přístrojů s Androidem, ale i služeb.

Stále rostoucí množství bezpečnostních útoků a zneužití výrobci neznámých děr v produktech přimělo i Samsung spustit výše uvedený program. Ten zahrnuje celkem 38 mobilních zařízení Samsungu uvedených od roku 2016, která dostávají pravidelné měsíční či čtvrtletní aktualizace. Jde tedy například o vlajkové lodi Galaxy S8, S8 Plus či čerstvý phablet Galaxy Note 8 a obecně pak o řady produktů Galaxy S (od modelů S6 výše), A, J (loňské a letošní řady), Tab (pouze Tab S2 L Refresh a Tab S3 9.7) a Note (od modelu 4 výše).

Program se vztahuje na nalezené chyby ve firemních službách, a to v samotném balíku Mobile Services, což zahrnuje též Bixby, Samsung Account, Samsung Pay, Samsung Pass a další.

Má-li být vyplacena odměna, musí daná osoba poskytnout validní proof-of-concept exploitu, který nevyžaduje ani fyzické propojení s přístrojem, ani instalaci third-party aplikace. Společnost Samsung pak tento exploit posoudí, rozhodne o jeho závažnosti (Critical, High, Moderate, Low) a dopadu na firemní přístroje. Odměna pak bude stanovena v rozpětí od 200 dolarů (drobné bezpečnostní chybičky) po 200 tisíc dolarů (kritické zranitelnosti). Nejvyšší odměny budou vypláceny za nalezené chyby týkající se zabezpečeného prostředí (trusted execution environment – TEE) či kompromitace bootloaderu.

Našli jste v článku chybu?