Samsung eleva recompensas por vulnerabilidades até um milhão de dólares
A Samsung encontra-se a elevar a sua recompensa para quem consiga encontrar vulnerabilidades no Knox Vault, sendo que agora esta pode atingir o valor de 1 milhão de dólares.
O Knox Vault é um sistema integrado nos dispositivos da Samsung, que é responsável por armazenar informações sensíveis como dados de login e outras informações importantes e encriptadas. Portanto, trata-se de uma área onde é possível de encontrar dados bastante importantes, que não se pretenda o acesso “normal”.
Para demonstrar o empenho nessa ideia de segurança, a Samsung agora irá fornecer até um milhão de dólares em recompensa para quem encontrar uma falha grave no Knox Vault. O valor máximo será atribuído para quem encontre uma falha de “interação zero”, onde os dados podem ser comprometidos sem qualquer iteração das vítimas.
Tendo em conta que o Knox Vault usa um chip dedicado para as suas tarefas, completamente isolado do processador central, esta tarefa é vista como algo bastante complicado de se realizar, até mesmo por ataque que de outra forma poderia aproveitar o processador do dispositivo para o mesmo.
Para quem encontre uma falha que permita o acesso aos dados, mas envolva ter acesso físico aos dispositivos, a recompensa pode atingir os 300.000 dólares. Comprometer o subsistema TEEGRIS pode render entre 200.000 e 400.000 dólares de recompensa.
Para quem consiga comprometer o Rich Execution Environment (REE), a recompensa pode atingir os 150 mil dólares, e o sistema de anti-malware Auto Blocker rende até 100 mil dólares.
Embora as recompensas sejam tentadoras, as mesmas são variáveis com a dificuldade de se explorar e encontrar falhas. O Knox Vault é considerado um dos sistemas mais seguros atualmente disponíveis, portanto será algo extremamente complicado de se encontrar, e dai as recompensas igualmente elevadas.
Em mais de sete anos que a Samsung fornece este programa de recompensas, foram pagos menos de 5 milhões de dólares em recompensas variadas, com o valor mais elevado a ser de 57.190 dólares – atribuído o ano passado. Em 2023 a Samsung ainda pagou 827.925 dólares a 113 pessoas pelas descobertas de falhas.