今天小編分享的科技經驗:小米推出手機守護計劃:總獎金 100 萬元,收錄漏洞報銷購買費用,歡迎閱讀。
IT 之家 9 月 11 日消息,小米安全中心近日宣布推出 2023 小米手機守護計劃,本次守護計劃獎金池總額 100 萬元人民币,活動時間為 9 月 5 日 -10 月 6 日。
本次測試機型為小米 13 系列,守護計劃需自行購買設備進行測試。若提交了符合守護計劃收錄要求的有效漏洞即可報銷產品購買費用,否則不予報銷(提供發票)。
IT 之家附漏洞利用要求:
官方最新穩定版 ROM
浏覽器版本通過小米應用商店更新到最新版本
保持默認的系統設定,或是正常使用手機的設定,無任何特殊改動
不能申請和使用 Accessibility 權限
外界未曝光細節與 POC 的 0day 漏洞(Chrome buglist 内公開漏洞不在獎勵計劃内)
所有漏洞 (包括 root 權限提升) 在所有場景中只會判定有效一次,在其他場景或利用鏈中再次被使用,将被視為漏洞重復。
漏洞驗證方式
白帽子需提交完整的漏洞利用報告,包括:
漏洞分析的詳細報告,包括必要的調用鏈描述 + 截圖
驗證漏洞的 poc,或 exp 的源碼
存在多互動場景或者具備一定演示效果的,上傳錄制視頻
小米安全團隊會在 " 漏洞利用要求 " 中提及的環境中復現漏洞
漏洞復現成功,會确認漏洞與攻擊場景成立
漏洞復現失敗,會對漏洞利用鏈中有效的漏洞進行單獨折算獎勵
漏洞有效性
漏洞有效性以最先提交為準,後續提交的重復漏洞不納入「Xiaomi 13 守護計劃」獎勵範圍
對于 PoC 鏈中存在多個漏洞的場景中,如果出現部分漏洞重復的情況,會對 PoC 鏈中非重復漏洞内容進行場景折算(如完整復現 POC 鏈中有 3 個漏洞,其中一項未重復,則獎勵為完整獎勵的 1/3 )
獎勵标準
本次守護計劃獎金池總額 100 萬元人民币,公式:基礎獎勵 x 互動系數 + 挑戰項獎金(完成挑戰項)。
漏洞收錄範圍 & 獎勵:
互動系數:
挑戰項:
通過未公開 0day 漏洞在任意場景可以獲取小米 * 完整 root 權限(官方 root 工具除外),直接獎勵 100,000 元獎金。
通過未公開 0day 漏洞在任意場景下開機直接解鎖手機 ,直接獎勵 100,000 元獎金。
