近日,小米安全中心宣布推出2023年小米手機守護計劃,該計劃的獎金池總額爲100萬元人民幣,活動時間爲9月5日至10月6日。本次測試機型爲小米13系列,守護計劃需要用戶自行購买設備進行測試。如果用戶提交的漏洞符合守護計劃收錄要求,其購买設備的費用將予以報銷,否則不予報銷。 在漏洞利用方面,用戶需要使用官方最新穩定版ROM和瀏覽器版本,並保持默認的系統設置或正常使用手機的設置,不能申請和使用Accessibility權限。此外,外界未曝光的細節與POC漏洞(Chrome buglist內公开漏洞不在獎勵計劃內)。所有漏洞(包括root權限提升)在所有場景中只會判定有效一次,其他場景或利用鏈中再次被使用,將被視爲漏洞重復。 在漏洞驗證方式上,用戶需要提交完整的漏洞利用報告,包括漏洞分析的詳細報告、必要的調用鏈描述和截圖,以及驗證漏洞的POC或EXP的源碼。如果存在多交互場景或具備一定演示效果,用戶還需要上傳錄制視頻。小米安全團隊會在“漏洞利用要求”中提及的環境中復現漏洞,漏洞復現成功,會確認漏洞與攻擊場景成立。漏洞復現失敗,會對漏洞利用鏈中有效的漏洞進行單獨折算獎勵。 在漏洞有效性方面,漏洞有效性以最先提交爲准,後續提交的重復漏洞不納入“小米13守護計劃”獎勵範圍。對於POC鏈中存在多個漏洞的場景中,如果出現部分漏洞重復的情況,會對POC鏈中非重復漏洞內容進行場景折算(如完整復現POC鏈中有3個漏洞,其中一項未重復,則獎勵爲完整獎勵的1/3)。 獎勵標准方面,本次守護計劃的獎金池總額爲100萬元人民幣,公式爲:基礎獎勵x交互系數+挑战項獎金(完成挑战項)。
標題:小米推出100萬元守護計劃:自行購买設備測試
地址:https://www.utechfun.com/post/261123.html