Important Scenario Vulnerability Program (ISVP) névvel új hibavadász programot indított a Samsung. A kifejezetten a gyártó mobil eszközeit érintő biztonsági kezdeményezés keretében akár 1 millió dollár is ütheti a markát annak az etikus hekkernek, aki a készülékek teljes átvételére alkalmas, kritikus minősítésű hibára bukkan.

Az ISVP a tetszőleges kódfuttatással, a készülékek feloldásával, az adatok kinyerésével, az alkalmazások tetszőleges telepítésével és a készülék védelmének megkerülésével kapcsolatos sebezhetőségekre összpontosít. Az ezekre épülő biztonsági jelentések maximális honoráriuma 30 ezer és 1 millió dollár között van, a biztonsági rés jellege és súlyossága szerint. 

A legtöbbet a Knox Vault távolról történő, teljes kompromittálása hozhat a konyhára. Ez nem véletlen, hiszen a Samsung ebben az elszigetelt, (elméletben) szuperbiztonságos környezetben tárolja a mobil eszközökön belül a felhasználók érzékeny biometrikus adatait, illetve a kriptográfiai kulcsokat. 

A kiifizetéseknél alapvető elvárás, hogy a hibajelentéseknek tartalmazniuk kell egy olyan exploitot, amely következetesen, jogosultságok nélkül működik a zászlóshajó modellek, például a Galaxy S és Z sorozat legújabb biztonsági frissítésén.

Eddig sem fukarkodtak

A Samsung az ISVP bejelentésével párhuzamosan nyilvánosságra hozta 2017-től működtetett bug bounty programja tavalyi és összesített statisztikáit. Eszerint 2023-ban 113 kutató osztozott 828 ezer dollárnyi kifizetésen. Tavaly a legnagyobb egyszeri jutalom 57 ezer dollár volt.

Ami az elmúlt bő hat év összteljesítményét illeti: a dél-koreai óriás közel 5 millió dollárt, egészen pontosan 4,9 milliót utalt a felfedezett biztonsági problémákra rámutató szakértőknek, az egyszeri kifizetés rekordja pedig 120 ezer dollár volt. Utóbbi vélhetően hamarosan megdől, köszönhetően a korábbinál lényegesen nagyobb maximumösszegekkel csábító ISVP-nek.