A Samsung anunciou um novo programa de recompensa para incentivar usuários a identificarem falhas de segurança graves em seus aparelhos. Denominado de “Important Scenario Vulnerability Program (ISVP)”, a empresa vai oferecer prêmios que podem chegar a US$ 1 milhão (cerca de R$ 5,6 milhões).
O programa é parte do Samsung Mobile Security Rewards, lançado em 2017, onde já pagou cerca de US$ 5 milhões em recompensas por vulnerabilidades identificadas por usuários. Somente em 2023, a sul-coreana pagou US$ 827.925 (R$ 4,6 milhões) para 113 pesquisadores que fizeram descobertas. A maior delas foi para a consultoria de cibersegurança TASZK Security Labs, que recebeu US$ 57.190 (R$ 320 mil).
Nessa nova edição, a empresa busca focar em falhas que podem ser encontradas na execução de código arbitrário, desbloqueio de aparelhos, extração de dados, instalação de aplicativos e violação de proteções de dispositivos.
A Samsung destaca o prêmio máximo de US$ 1 milhão para quem identificar execuções remotas de código (RCE) que explorem o Knox Vault. O sistema de segurança armazena informações biométricas e chaves criptográficas nos dispositivos móveis da marca.
Recompensas
Entre as outras recompensas está o valor de até US$ 400 mil para quem identificar execução remota de código no sistema operacional TEEGRIS. Além de uma recompensa de US$ 200 mil para execução local de código. O Rich OS, sistema operacional principal dos dispositivos da empresa, também está incluso no programa. As recompensas variam de US$ 150 mil até US$ 300 mil em falhas identificadas no código local e execuções remotas de código, respectivamente.
Há uma variedade de recompensas para os usuários que encontrarem determinadas vulnerabilidades nos dispositivos da Samsung. Todas as informações podem ser encontradas na página do Programa de Recompensas.
De acordo com a Samsung, para serem elegíveis às recompensas, os relatórios devem descrever a vulnerabilidade, demonstrando ataque bem-sucedido em aparelhos topo de linha da marca. Os ataques precisam ser persistentes e devem ser realizados sem interação do usuário (0-click).
