Samsung mette in palio fino a 1 milione di dollari per chi è capace di violare Knox Vault

Samsung ha recentemente annunciato un nuovo programma di bug bounty per i suoi dispositivi mobili, denominato "Important Scenario Vulnerability Program (ISVP)" e che mette in palio ricompense fino ad 1 milione di dollari per coloro i quali riusciranno ad individuare vulnerabilità critiche all'interno dei sistemi di sicurezza dei prodotti del colosso sudcoreano.

ISVP si concentra su diversi tipi di vulnerabilità e relative conseguenze, tra cui l'esecuzione di codice arbitrario, lo sblocco non autorizzato dei dispositivi, l'estrazione non autorizzata di dati, l'installazione di applicazioni non autorizzate e l'aggiramento delle misure di protezione implementate sui dispositivi. In particolare sotto i riflettori si trova Knox Vault, l'ambiente di sicurezza isolato sviluppato da Samsung per proteggere dati biometrici sensibili e chiavi crittografiche sui dispositivi mobili.

Come dicevamo, le ricompense messe in palio da Samsung per le vulnerabilità di Knox Vault sono particolarmente sostanziose: 300.000 dollari per chi riesce a ottenere l'esecuzione di codice in locale, mentre la somma sale a 1 milione di dollari per l'esecuzione di codice remoto (RCE).

Samsung pone particolare attenzione anche a TEEGRIS OS, il sistema operativo Trusted Execution Environment. Si tratta di un ambiente sicuro e isolato, riservato all'esecuzione di codice sensibile e all'elaborazione di dati per attività come pagamenti e autenticazioni. In questo caso la scoperta di una vulnerabilità in grado di consentire l'esecuzione di codice arbitrario in locale vale 200 mila dollari, e raddoppia a 400 mila dollari nel caso si dimostri una vulnerabilità che permetta l'esecuzione di codice da remoto. 

Per quanto riguarda invece Rich OS, il sistema operativo principale dei dispositivi Samsung, sono messe in palio ricompense di 150 mila e 300 mila dollari rispettivamente per la scoperta di vulnerabilità che permettano esecuzione di codice in locale o da remoto. 

Lo sblocco non autorizzato del dispositivo, in particolare se collegato ad una successiva estrazione completa dei dati dell'utente, può fruttare fino a 400 mila dollari. E' invece prevista una ricompensa di 100 mila dollari nel caso si dimostri la possibilità di installare applicazioni non ufficiali da server malevoli, che scende a 60 mila dollari nel caso in cui l'app provenga dal Galaxy Store. 

I requisiti per poter accedere al massimo delle ricompense prevedono la presentazione di exploit compilabili, funzionanti senza privilegi e in modo stabile sugli ultimi aggiornamenti di sicurezza dei modelli di punta come le serie Galaxy S e Z. Samsung assegna particolare valore alle vulnerabilità che consentono di mantenere persistenza nel dispositivo e che non richiedano interazione da parte dell'utente.

A margine Samsung ha reso noto che lo scorso anno ha ricompensato un totale di oltre 827 mila dollari a 113 ricercatori di sicurezza nel contesto del Mobile Security Rewards Program, iniziativa lanciata da Samsung nel 2017 che da allora ha erogato oltre 4,9 milioni di dollari di ricompense: il record per una singola vulnerabilità è stado i 120 mila dollari, mentre lo scorso anno la ricompensa più elevata è stata di oltre 57 mila dollari.