Стремясь повысить безопасность своих устройств, Meta* ввела новые правила Bug Bounty. В программу поиска уязвимостей теперь входят Quest Pro и контроллеры Touch Pro, а максимальное вознаграждение составляет $45 000.
Bug Bounty побуждает хакеров исследовать программное обеспечение и помогает компании закрывать уязвимости, которые иначе могут обойтись намного дороже вознаграждения. Meta ведёт программу для разных продуктов, но сегодня компания выкатила свежие правила выплат именно для устройств, включая Quest Pro и Touch Pro, Quest 2, Quest, линейку Portal и Ray-Ban Stories.
Устройства, на которые распространяются выплаты
- Quest 2
- Quest
- Portal TV
- Portal+
- Portal Go
- Portal Mini
- Portal
- Ray-Ban Stories
Общие проблемы для всех устройств
- $30 000 — полный обход безопасной загрузки без возможности устранения.
- $20 000 — извлечение ключа идентификации устройства из доверенной зоны.
- $10 000 — полная цепочка эксплойтов, которая привела к получению root-доступа к устройству (бонусы за цепочку уязвимостей начисляются отдельно).
- От $500 до $10 000 — любой несанкционированный доступ к данным на стороне клиента (сумма выплат зависит от типа данных, к которым был получен доступ).
- Базовые размеры выплат за любые нативные ошибки (утечка памяти, дистанционное выполнение кода, разыменование нулевого указателя и т. д.) приведены в Руководстве по выплатам для RCE на мобильных устройствах. Компания будет корректировать размер выплат с помощью коэффициента в зависимости от типа приложения.
- Коэффициент для инцидентов в системной службе или с получением root-доступа — ×1.
- Коэффициент для собственного приложения с высокими привилегиями — ×0,5.
- Коэффициент для собственного приложения без привилегий — ×0,2.
- Коэффициент для стороннего приложения — неприменимо.
- От $500 до $5000 — проблемы, связанные с локальным хранилищем данных (сумма выплат зависит от типа данных).
- От $500 до $3000 — атаки типа «отказ в обслуживании» (сумма выплат зависит от функции или сервиса, подвергшихся атаке).
- От $500 до $1000 — ошибки в одном из драйверов Meta, работающих на уровне системы или root-доступа, кроме ошибок в самом проекте AOSP (сумма выплат зависит от типа ошибки).
Проблемы, общие для устройств Portal и Quest
- От $500 до $5000 — проблемы, вызванные потенциально вредоносными сторонними приложениями, например умышленный перехват данных, доступ к конфиденциальным данным внутри системы или из других приложений (сумма выплат зависит от типа вредоносного действия).
- $1250 — обход разрешительной модели приложений.
Проблемы с устройствами Quest
- $5000 — несанкционированный доступ к микрофону из стороннего приложения.
Проблемы с устройствами Portal
- $10 000 — программное вмешательство в схему включения красного светодиодного индикатора (индикатора выключения камеры).
- $5000 — несанкционированный доступ к камере или микрофону либо программное вмешательство в схему включения зелёного светодиодного индикатора работы камеры.
Типы ошибок и выплаты за них
- Если вредоносное стороннее приложение внедрит контент, который затем будет использоваться собственным приложением (например, изображения для слайд-шоу или аудиозапись для вызова), размер выплаты составит $1000.
- Если стороннее приложение получит доступ к микрофону без отправки запроса на устройство Quest, размер выплаты составит $5000.
- Если стороннее приложение на Quest получит возможность вывести из строя или отключить защитную систему, размер выплаты составит $3000.
- Если удалённое выполнение кода через переполнение буфера в библиотеке голосового чата Quest приведёт к выполнению кода в привилегированном собственном приложении, выплата составит $16 000 (эксплойт в 1 клик); коэффициент 0,5 для инцидентов с удалённым выполнением кода в собственном приложении с высоким уровнем привилегий).
- Если вы получите root-доступ к локальному устройству, вызвав повреждение кучи в системной службе, выплата составит $10 000.
- Если вы получите root-доступ к удаленному устройству без взаимодействия с пользователем, применив собственное приложение без привилегий с использованием ошибки, которая связана с повреждением памяти драйвера, выплата составит $19 000 (повреждение памяти драйвера относится к эксплойтам, не требующим участия пользователя (0 кликов); коэффициент 0,2 для собственных приложений без привилегий; выплата в размере более $10 000 за получение root-доступа к устройству).
Meta в 2022 году выплатила исследователям в области безопасности около $2 миллионов. В этом году она получила около 10 000 отчётов, 750 (7,5%) из которых признаны подходящими для выплаты. Таким образом, средняя выплата вознаграждения в этом году составляет около $2700 за ошибку.
Голографика призывает резидентов Российской Федерации перед работой по Bug Bounty внимательно ознакомиться с законодательством по противодействию экстремистской деятельности, поскольку Meta имеет статус экстремистской организации, и сотрудничество с ней может иметь серьёзные последствия, включая уголовное преследование.
*В РФ признана экстремистской
Не пропускайте важнейшие новости о дополненной и виртуальной реальности — подписывайтесь на Голографику в Telegram, ВК и Twitter! Поддержите проект на Boosty.
Далее: Редактор дополненной реальности Blippbuilder получил поддержку Magic Leap 2 и Quest Pro