A Samsung lançou um novo programa de recompensas chamado “Important Scenario Vulnerability Program (ISVP)”, com prêmios de até US$ 1 milhão para quem encontrar vulnerabilidades críticas em seus sistemas e dispositivos.
O principal foco é direcionado para as falhas de segurança que possam permitir a execução de código arbitrário, bem como para vulnerabilidades que facilitem o desbloqueio de dispositivos sem autorização. Além disso, há uma atenção especial voltada para as brechas que podem levar à extração não autorizada de dados sensíveis e também para aquelas que possibilitem a instalação indesejada de aplicativos nos sistemas.
Valor da recompensa aumenta conforme a gravidade da falha
O prêmio máximo de US$ 1 milhão é para quem descobrir execuções remotas de código (RCE) que afetem o Knox Vault, a área de segurança da Samsung para informações sensíveis. Para falhas de execução de código local no Knox Vault, o prêmio é de US$ 300 mil. No sistema operacional TEEGRIS, as recompensas são de até US$ 400 mil para RCE remoto e US$ 200 mil para local.
No Rich OS, o sistema operacional principal dos dispositivos Samsung, falhas locais podem valer US$ 150 mil, enquanto as remotas podem chegar a US$ 300 mil. A extração completa de dados do usuário no primeiro desbloqueio do dispositivo pode render US$ 400 mil, e metade desse valor após o primeiro desbloqueio.
Há também prêmios de US$ 100 mil para instalação remota de aplicativos de fontes não oficiais e US$ 60 mil se for pela Galaxy Store. Para instalações locais, os valores são de US$ 50 mil e US$ 30 mil, respectivamente.
Como fazer para tentar?
Para concorrer às recompensas, é necessário demonstrar um ataque bem-sucedido em dispositivos topo de linha da Samsung, como as séries Galaxy S e Z, com a última atualização de segurança instalada e sem interação do usuário (0-click).
Em 2023, a Samsung pagou US$ 827.925 a 113 pesquisadores pelo programa Mobile Security Rewards. Desde 2017, mais de US$ 4,9 milhões foram distribuídos em recompensas. Com o ISVP, a Samsung espera aumentar esses números e incentivar a detecção de vulnerabilidades críticas que possam afetar seus dispositivos.
Portanto, se você tem conhecimento de programação e sabe como procurar brechas de segurança, essa pode ser uma boa oportunidade para fazer uma grana extra.
Fontes: Android Headlines, Sam Mobile e Samsung
Deixe seu comentário