Samsung está confiado de su seguridad, y ofrece un millón de dólares para el que encuentre vulnerabilidades en sus sistemas. Te contamos más, ¡acá!
Samsung arrancó un nuevo programa de recompensas para fomentar la notificación de vulnerabilidades de seguridad en toda su gama de dispositivos móviles, y representa muchísimo dinero. La marca ofrecerá 300.000 dólares a quien logre ejecución arbitraria local, mientras que la ejecución remota de código (RCE) recibirá un premio de 1.000.000 de dólares.
El “Programa de Vulnerabilidades en Escenarios Importantes (ISVP)” hará que la gente busque exploits relacionados con el desbloqueo de dispositivos, la extracción de datos y la evasión de la protección de dispositivos.
En el caso del Rich OS de Samsung, los fallos de ejecución local de código se pagarán con 150.000 dólares y los RCE, con un máximo de 300.000 dólares. Los informes de extracción de datos con éxito en el primer desbloqueo verán una recompensa de 400.000 dólares, que se reduce a 200.000 dólares si la extracción se logra después del primer desbloqueo.
Las recompensas máximas requieren que la vulnerabilidad sea persistente y de 0 clics. Otras recompensas con un pago menor incluyen la instalación remota de aplicaciones arbitrarias desde un marketplace no oficial o un servidor atacante, que otorgan 100.000 dólares, y de 60.000 dólares si se instala desde la Galaxy Store.
Para calificar como un informe exitoso, las vulnerabilidades deben ser un exploit construible que funcione sin privilegios de forma consistente en los principales modelos de dispositivos de Samsung que ejecutan la última actualización de seguridad.
Samsung dijo que ya pagó $827.925 dólares como parte del programa de recompensas por fallos 2023 donde participaron 113 investigadores de seguridad. Hasta ahora, los programas de recompensas por fallos de Samsung desde 2017 suman $4,9 millones de dólares pagados.
Si no sabés qué hacer con esa plata, comprate un parlante invisible de la marca.