小米推出手機守護計劃：獎金總額 100 萬元，收錄有效漏洞可報銷產(chǎn)品購買費用

IT之家 9 月 11 日消息，小米安全中心近日宣布推出 2023 小米手機守護計劃，本次守護計劃獎金池總額 100 萬元人民幣，活動時間為 9 月 5 日-10 月 6 日。

本次測試機型為小米 13 系列，守護計劃需自行購買設(shè)備進行測試。若提交了符合守護計劃收錄要求的有效漏洞即可報銷產(chǎn)品購買費用，否則不予報銷（提供發(fā)票）。

IT之家附漏洞利用要求：

• 官方最新穩(wěn)定版 ROM

• 瀏覽器版本通過小米應(yīng)用商店更新到最新版本

• 保持默認的系統(tǒng)設(shè)置，或是正常使用手機的設(shè)置，無任何特殊改動

• 不能申請和使用 Accessibility 權(quán)限

• 外界未曝光細節(jié)與 POC 的 0day 漏洞（Chrome buglist 內(nèi)公開漏洞不在獎勵計劃內(nèi)）

• 所有漏洞 （包括 root 權(quán)限提升） 在所有場景中只會判定有效一次，在其他場景或利用鏈中再次被使用，將被視為漏洞重復(fù)。

漏洞驗證方式

白帽子需提交完整的漏洞利用報告，包括：

• 漏洞分析的詳細報告，包括必要的調(diào)用鏈描述 + 截圖

• 驗證漏洞的 poc，或 exp 的源碼

• 存在多交互場景或者具備一定演示效果的，上傳錄制視頻

小米安全團隊會在“漏洞利用要求”中提及的環(huán)境中復(fù)現(xiàn)漏洞

• 漏洞復(fù)現(xiàn)成功，會確認漏洞與攻擊場景成立

• 漏洞復(fù)現(xiàn)失敗，會對漏洞利用鏈中有效的漏洞進行單獨折算獎勵

漏洞有效性

• 漏洞有效性以最先提交為準，后續(xù)提交的重復(fù)漏洞不納入「Xiaomi 13 守護計劃」獎勵范圍

• 對于 PoC 鏈中存在多個漏洞的場景中，如果出現(xiàn)部分漏洞重復(fù)的情況，會對 PoC 鏈中非重復(fù)漏洞內(nèi)容進行場景折算（如完整復(fù)現(xiàn) POC 鏈中有 3 個漏洞，其中一項未重復(fù)，則獎勵為完整獎勵的 1/3)

獎勵標準

本次守護計劃獎金池總額 100 萬元人民幣，公式：基礎(chǔ)獎勵 x 交互系數(shù) + 挑戰(zhàn)項獎金（完成挑戰(zhàn)項）。

漏洞收錄范圍 & 獎勵：

交互系數(shù)：

挑戰(zhàn)項：

• 通過未公開 0day 漏洞在任意場景可以獲取小米 * 完整 root 權(quán)限（官方 root 工具除外），直接獎勵 100,000 元獎金。

• 通過未公開 0day 漏洞在任意場景下開機直接解鎖手機 ，直接獎勵 100,000 元獎金。

備注：

• 針對包括但不限于需要誘導(dǎo)用戶點擊鏈接、釣魚郵件、多次交互等行為才能觸發(fā)的安全漏洞。分為無交互、弱交互和強交互三種類型。

• 遠程：指在不安裝應(yīng)用或不實際接觸設(shè)備的情況下利用漏洞實施攻擊，包括通過網(wǎng)頁瀏覽、閱讀短信彩信、收發(fā)郵件、文件下載、無線網(wǎng)絡(luò)通信 (不包括通信距離小于 10 厘米的短距通信) 等方式。

• 近場通信：指 NFC、藍牙

• 靜默安裝：指安裝應(yīng)用實現(xiàn)過程中，被攻擊者完全無感知（例如，應(yīng)用商店自動安裝時有彈框提示不屬于靜默安裝）

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。