Samsung hat ein neues Bug-Bounty-Programm für seine Mobilgeräte gestartet und bietet Belohnungen von bis zu 1.000.000 Dollar für Berichte, die kritische Angriffsszenarien demonstrieren.

Das neue Programm, das als „Important Scenario Vulnerability Program (ISVP)“ bekannt ist, konzentriert sich auf Schwachstellen im Zusammenhang mit der Ausführung beliebigen Codes, dem Entsperren von Geräten, der Datenextraktion, der Installation beliebiger Anwendungen und dem Umgehen von Geräteschutzmechanismen.

Hervorgehobene Belohnungen

Knox Vault ist Samsungs isolierte sichere Umgebung zur Speicherung sensibler biometrischer Informationen und kryptografischer Schlüssel auf Mobilgeräten. Berichte, die eine lokale beliebige Codeausführung auf Samsung-Geräten erreichen, erhalten 300.000 Dollar, während Remote-Codeausführung (RCE) mit 1.000.000 Dollar belohnt wird.

TEEGRIS OS ist Samsungs Betriebssystem für die Trusted Execution Environment (TEE), das eine sichere, isolierte Umgebung vom Hauptbetriebssystem bietet, um sensible Codes auszuführen und kritische Daten wie Zahlungen und Authentifizierung zu verarbeiten. Lokale beliebige Codeausführung auf TEEGRIS OS wird mit 200.000 Dollar belohnt, während RCE-Schwachstellen bis zu 400.000 Dollar einbringen können.

Lokale Codeausführung auf Rich OS, dem primären Betriebssystem auf Samsung-Geräten, bringt 150.000 Dollar ein, während RCEs auf diesem System maximal 300.000 Dollar belohnen.

Die höchsten Auszahlungen im ISVP

Geräte-Entsperrungen kombiniert mit der vollständigen Datenextraktion des Benutzers zahlen 400.000 Dollar oder die Hälfte des Betrags, wenn dies nach dem ersten Entsperren erreicht wird.

Eine weitere bemerkenswerte Auszahlung beträgt 100.000 Dollar für die remote Installation beliebiger Anwendungen von einem inoffiziellen Marktplatz oder dem Server eines Angreifers, oder 60.000 Dollar, wenn die App aus dem Galaxy Store installiert wird. Lokale beliebige Installationen zahlen 50.000 bzw. 30.000 Dollar.

Voraussetzungen für Belohnungen

Um Belohnungen zu beanspruchen, müssen Fehlerberichte einen baubaren Exploit enthalten, der ohne Privilegien konsistent auf dem neuesten Sicherheitsupdate von Flaggschiffmodellen wie der Galaxy S- und Z-Serie funktioniert. Um die maximalen Belohnungen zu erhalten, muss der Exploit persistent und 0-Klick sein, was bedeutet, dass keine Benutzerinteraktion erforderlich ist.

830.000 Dollar im Jahr 2023 ausgezahlt

Heute gab Samsung außerdem bekannt, dass im Jahr 2023 113 Sicherheitsforscher, die am Mobile Security Rewards Program teilgenommen haben, insgesamt 827.925 Dollar für ihre Einreichungen erhalten haben.

Seit dem Start des Programms im Jahr 2017 hat Samsung über 4.900.000 Dollar an Bug-Bounty-Belohnungen ausgezahlt, wobei die höchste Einzelbelohnung 120.000 Dollar betrug. Die Rekordauszahlung im letzten Jahr lag bei 57.190 Dollar.

Mit der Einführung des ISVP zielt Samsung darauf ab, diese Rekorde zu brechen und starke Anreize zu bieten, um Berichte über kritischere Probleme zu erhalten, die Samsung-Geräte betreffen.