La compañía promete responder a los informes en 48 horas
El gigante surcoreano Samsung Electronics está ofreciendo recompensas por los bugs reportados en sus dispositivos móviles, software y servicios.
"El programa de recompensas se inició con un piloto en enero de 2016 para garantizar una introducción pública eficiente y productiva a la comunidad de seguridad más amplia", explicó la compañía. "El programa Mobile Security Rewards de Samsung es la última iniciativa para demostrar el firme compromiso de la compañía de permitir experiencias seguras para todos sus clientes".
¿Cuál es el alcance?
Se instruye a los investigadores a buscar vulnerabilidades en:
• Servicios activos de Samsung Mobile, incluyendo Bixby, Samsung Account, Samsung Pay y Samsung Pass.
• Todos los dispositivos móviles de Samsung que reciben actualizaciones de seguridad mensuales y trimestrales (Galaxy S, Galaxy Note, Galaxy A, Galaxy J y Galaxy Tab).
• Aplicaciones desarrolladas y firmadas por Samsung Mobile, así como aplicaciones de terceros específicas para dispositivos, aplicaciones o servicios de Samsung Mobile.
"Dependiendo del nivel de gravedad de la vulnerabilidad, el monto de las recompensas oscilará entre USD $ 200 y USD $ 200.000 para los informes calificados", señaló la empresa, y añadió que se otorgarán recompensas más pequeñas por los informes que no incluyan una Prueba de Concepto válida, y no se otorgarán recompensas a los informes sin impacto en la seguridad.
La lista de categorías de errores que también no son elegibles para recompensas incluye, entre otras, aquellas que involucran escenarios que requieren una interacción excesiva del usuario, escenarios complejos que hacen improbable que la falla sea explotada y bugs que requieren conexión física al dispositivo con depuración a nivel de herramientas de desarrollador.
"Se ofrecerá una mayor cantidad de recompensas por vulnerabilidades con mayor riesgo e impacto de seguridad, e incluso se ofrecerá una mayor cantidad de recompensas por las vulnerabilidades que conducen al compromiso de TEE o Bootloader. Por otro lado, la cantidad de recompensas puede reducirse significativamente si la vulnerabilidad de seguridad requiere ejecutarse como un proceso privilegiado", añadieron.
La compañía promete responder a los informes en 48 horas, y hacer su "mejor esfuerzo para resolver las vulnerabilidades de seguridad, y lanzar parches a los consumidores finales en un plazo de 90 días".
Más información sobre el programa se puede obtener aquí.