Samsung ofrece hasta 1 millón de dólares a quienes descubran vulnerabilidades en su software.

Samsung ha iniciado un nuevo programa de recompensas para la detección de errores, con el objetivo de incentivar la presentación de informes sobre vulnerabilidades de seguridad en su línea de dispositivos móviles. Los premios para la ejecución de código de forma local alcanzan hasta $300,000, mientras que la ejecución de código remoto (RCE) puede obtener hasta $1,000,000.

Este proyecto, denominado Programa de Vulnerabilidades en Escenarios Importantes (ISVP), busca que los participantes identifiquen posibles exploits relacionados con el desbloqueo de dispositivos, la extracción de datos y la evasión de las protecciones de los mismos.

En cuanto a la plataforma Rich OS de Samsung, las fallas en la ejecución de código local ofrecen recompensas de hasta $150,000 y los RCE pueden llegar hasta $300,000. En el caso de la extracción de datos exitoso en el primer desbloqueo, la recompensa es de $400,000, que se reduce a $200,000 si la extracción ocurre después de dicho evento.

Para calificar como un informe exitoso, las vulnerabilidades deben ser explotables y funcionar de manera consistente en los modelos principales de dispositivos de Samsung que operan con la última actualización de seguridad, sin requerir privilegios adicionales. Otras recompensas menores incluyen la instalación remota de aplicaciones desde un mercado no oficial, que otorga $100,000, y $60,000 si la instalación se realiza desde la Galaxy Store.

Samsung ha informado que en 2023 se otorgaron un total de $827,925 dentro de su programa de recompensas por errores, con la participación de 113 investigadores en el área de seguridad. Desde el inicio de sus programas de recompensas en 2017, la compañía ha distribuido más de $4.9 millones en total.

• seguridad móvil
• vulnerabilidades
• recompensas