Samsung paga até US$ 1 milhão para quem achar falhas de segurança em celulares
Por Guilherme Haas | •
A Samsung anunciou um novo programa de recompensas para incentivar a identificação de vulnerabilidades de segurança em seus celulares. O programa, denominado "Important Scenario Vulnerability Program (ISVP)", oferece prêmios que podem chegar a US$ 1 milhão para aqueles que conseguirem demonstrar cenários de ataque críticos.
- Clique e siga o Canaltech no WhatsApp
- Microsoft oferece até R$ 75 mil para quem encontrar bugs na IA do Bing
A nova edição do programa de recompensas da Samsung se concentra em vulnerabilidades relacionadas à execução de código arbitrário, desbloqueio de aparelhos, extração de dados, instalação de aplicativos e violação de proteções de dispositivos.
Valores das recompensas
Entre as principais recompensas, destaca-se o prêmio máximo de US$ 1 milhão para execuções remotas de código (RCE) que explorem o sistema de segurança Knox Vault, um ambiente isolado utilizado para armazenar informações biométricas e chaves criptográficas nos dispositivos móveis da Samsung.
Para falhas de execução de código local no Knox Vault, a recompensa é de US$ 300 mil. Já para o sistema operacional TEEGRIS, que proporciona um ambiente seguro e isolado para processar dados críticos, a execução remota de código pode render até US$ 400 mil, enquanto a execução local de código tem uma recompensa de US$ 200 mil.
O sistema operacional principal dos dispositivos Samsung, o Rich OS, também está incluído no programa. Falhas de execução de código local neste sistema podem render US$ 150 mil, enquanto as execuções remotas de código podem premiar até US$ 300 mil.
Além disso, a extração completa de dados do usuário no primeiro desbloqueio do aparelho pode pagar US$ 400 mil, valor que cai pela metade se a extração ocorrer após o primeiro desbloqueio.
Outras recompensas incluem US$ 100 mil para instalação remota arbitrária de aplicativos a partir de uma loja não oficial, e US$ 60 mil se a instalação ocorrer a partir da Galaxy Store. Para instalação local arbitrária, os prêmios são de US$ 50 mil e US$ 30 mil, respectivamente.
Para serem elegíveis às recompensas, os relatórios devem demonstrar um ataque bem-sucedido em aparelhos topo de linha da marca — como as séries Galaxy S e Z — com a atualização de segurança mais recente instalada. Os ataques precisam ser persistentes e devem realizados sem interação do usuário (0-click).
Em 2023, a Samsung pagou um total de US$ 827.925 para 113 pesquisadores que participaram do programa Mobile Security Rewards. Desde o início do programa em 2017, a empresa já distribuiu mais de US$ 4,9 milhões em recompensas. O lançamento do ISVP visa aumentar esses números, incentivando o envio de relatórios sobre vulnerabilidades críticas que possam impactar aparelhos da fabricante.