主要观点总结
三星推出新的漏洞赏金计划——重要场景漏洞计划(ISVP),针对移动设备上的关键攻击场景提供奖励。计划重点关注任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护等相关漏洞。特别是针对Knox Vault和TEEGRIS OS的漏洞,最高奖励达百万美元。该计划旨在激励安全研究人员提交更多关于三星设备严重问题的报告。
关键观点总结
关键观点1: 新的漏洞赏金计划推出
三星针对移动设备推出名为ISVP的漏洞赏金计划,对展示关键攻击场景的报告提供高额奖励。
关键观点2: 计划重点关注的具体漏洞
该计划重点关注任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护等相关漏洞,特别是在Knox Vault和TEEGRIS OS上的漏洞。
关键观点3: 高额奖励
对于特定漏洞,如远程代码执行(RCE),最高奖励达100万美元。其他漏洞报告也有相应的奖励金额,如本地任意代码执行、应用程序安装等。
关键观点4: 计划的目的
该计划的推出旨在打破之前的记录,提供强有力的激励来收集影响三星设备的更多严重问题的报告。
关键观点5: 统计数据
自2017年漏洞赏金计划启动以来,三星已支付超过490万美元的漏洞赏金,最高支付额为12万美元。今年向参与移动安全奖励计划的113名安全研究人员支付827,925美元。
文章预览
三星为其移动设备推出了一项新的漏洞赏金计划,将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。 新的“重要场景漏洞计划(ISVP)”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。 重点支出 Knox Vault 是三星的独立安全环境,用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励,而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。 TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统,它提供了一个与主操作系统安全隔离的环境,以执行敏感代码并处理关键数据,例如支付和身份验证。 TEEGRIS OS 上的本地任意代码执行可获 20 万美元,而 RCE 漏洞可获最高 40 万美元。Rich OS(三星设备的主要操作系统)上的本地代码执行可获 1
………………………………
