設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

小米推出手機(jī)守護(hù)計(jì)劃:獎(jiǎng)金總額 100 萬元,收錄有效漏洞可報(bào)銷產(chǎn)品購買費(fèi)用

2023/9/11 15:29:00 來源:IT之家 作者:浩渺(實(shí)習(xí)) 責(zé)編:浩渺
感謝IT之家網(wǎng)友 白展堂 的線索投遞!

IT之家 9 月 11 日消息,小米安全中心近日宣布推出 2023 小米手機(jī)守護(hù)計(jì)劃,本次守護(hù)計(jì)劃獎(jiǎng)金池總額 100 萬元人民幣,活動(dòng)時(shí)間為 9 月 5 日-10 月 6 日。

本次測(cè)試機(jī)型為小米 13 系列,守護(hù)計(jì)劃需自行購買設(shè)備進(jìn)行測(cè)試。若提交了符合守護(hù)計(jì)劃收錄要求的有效漏洞即可報(bào)銷產(chǎn)品購買費(fèi)用,否則不予報(bào)銷(提供發(fā)票)。

IT之家附漏洞利用要求:

  • 官方最新穩(wěn)定版 ROM

  • 瀏覽器版本通過小米應(yīng)用商店更新到最新版本

  • 保持默認(rèn)的系統(tǒng)設(shè)置,或是正常使用手機(jī)的設(shè)置,無任何特殊改動(dòng)

  • 不能申請(qǐng)和使用 Accessibility 權(quán)限

  • 外界未曝光細(xì)節(jié)與 POC 的 0day 漏洞(Chrome buglist 內(nèi)公開漏洞不在獎(jiǎng)勵(lì)計(jì)劃內(nèi))

  • 所有漏洞 (包括 root 權(quán)限提升) 在所有場(chǎng)景中只會(huì)判定有效一次,在其他場(chǎng)景或利用鏈中再次被使用,將被視為漏洞重復(fù)。

漏洞驗(yàn)證方式

白帽子需提交完整的漏洞利用報(bào)告,包括:

  • 漏洞分析的詳細(xì)報(bào)告,包括必要的調(diào)用鏈描述 + 截圖

  • 驗(yàn)證漏洞的 poc,或 exp 的源碼

  • 存在多交互場(chǎng)景或者具備一定演示效果的,上傳錄制視頻

小米安全團(tuán)隊(duì)會(huì)在“漏洞利用要求”中提及的環(huán)境中復(fù)現(xiàn)漏洞

  • 漏洞復(fù)現(xiàn)成功,會(huì)確認(rèn)漏洞與攻擊場(chǎng)景成立

  • 漏洞復(fù)現(xiàn)失敗,會(huì)對(duì)漏洞利用鏈中有效的漏洞進(jìn)行單獨(dú)折算獎(jiǎng)勵(lì)

漏洞有效性

  • 漏洞有效性以最先提交為準(zhǔn),后續(xù)提交的重復(fù)漏洞不納入「Xiaomi 13 守護(hù)計(jì)劃」獎(jiǎng)勵(lì)范圍

  • 對(duì)于 PoC 鏈中存在多個(gè)漏洞的場(chǎng)景中,如果出現(xiàn)部分漏洞重復(fù)的情況,會(huì)對(duì) PoC 鏈中非重復(fù)漏洞內(nèi)容進(jìn)行場(chǎng)景折算(如完整復(fù)現(xiàn) POC 鏈中有 3 個(gè)漏洞,其中一項(xiàng)未重復(fù),則獎(jiǎng)勵(lì)為完整獎(jiǎng)勵(lì)的 1/3)

獎(jiǎng)勵(lì)標(biāo)準(zhǔn)

本次守護(hù)計(jì)劃獎(jiǎng)金池總額 100 萬元人民幣,公式:基礎(chǔ)獎(jiǎng)勵(lì) x 交互系數(shù) + 挑戰(zhàn)項(xiàng)獎(jiǎng)金(完成挑戰(zhàn)項(xiàng))。

漏洞收錄范圍 & 獎(jiǎng)勵(lì):

圖片 1

交互系數(shù):

圖片 2

挑戰(zhàn)項(xiàng):

  • 通過未公開 0day 漏洞在任意場(chǎng)景可以獲取小米 * 完整 root 權(quán)限(官方 root 工具除外),直接獎(jiǎng)勵(lì) 100,000 元獎(jiǎng)金。

  • 通過未公開 0day 漏洞在任意場(chǎng)景下開機(jī)直接解鎖手機(jī) ,直接獎(jiǎng)勵(lì) 100,000 元獎(jiǎng)金。

備注:

  • 針對(duì)包括但不限于需要誘導(dǎo)用戶點(diǎn)擊鏈接、釣魚郵件、多次交互等行為才能觸發(fā)的安全漏洞。分為無交互、弱交互和強(qiáng)交互三種類型。

  • 遠(yuǎn)程:指在不安裝應(yīng)用或不實(shí)際接觸設(shè)備的情況下利用漏洞實(shí)施攻擊,包括通過網(wǎng)頁瀏覽、閱讀短信彩信、收發(fā)郵件、文件下載、無線網(wǎng)絡(luò)通信 (不包括通信距離小于 10 厘米的短距通信) 等方式。

  • 近場(chǎng)通信:指 NFC、藍(lán)牙

  • 靜默安裝:指安裝應(yīng)用實(shí)現(xiàn)過程中,被攻擊者完全無感知(例如,應(yīng)用商店自動(dòng)安裝時(shí)有彈框提示不屬于靜默安裝)

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:小米手機(jī),小米13

軟媒旗下網(wǎng)站: IT之家 最會(huì)買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買 要知