Meta* объявила вознаграждения за ошибки, найденные в Quest и Ray-Ban Stories

140

Стремясь повысить безопасность своих устройств, Meta* ввела новые правила Bug Bounty. В программу поиска уязвимостей теперь входят Quest Pro и контроллеры Touch Pro, а максимальное вознаграждение составляет $45 000.

Bug Bounty побуждает хакеров исследовать программное обеспечение и помогает компании закрывать уязвимости, которые иначе могут обойтись намного дороже вознаграждения. Meta ведёт программу для разных продуктов, но сегодня компания выкатила свежие правила выплат именно для устройств, включая Quest Pro и Touch Pro, Quest 2, Quest, линейку Portal и Ray-Ban Stories.

Устройства, на которые распространяются выплаты

  • Quest 2
  • Quest
  • Portal TV
  • Portal+
  • Portal Go
  • Portal Mini
  • Portal
  • Ray-Ban Stories

Общие проблемы для всех устройств

  • $30 000 — полный обход безопасной загрузки без возможности устранения.
  • $20 000 — извлечение ключа идентификации устройства из доверенной зоны.
  • $10 000 — полная цепочка эксплойтов, которая привела к получению root-доступа к устройству (бонусы за цепочку уязвимостей начисляются отдельно).
  • От $500 до $10 000 — любой несанкционированный доступ к данным на стороне клиента (сумма выплат зависит от типа данных, к которым был получен доступ).
  • Базовые размеры выплат за любые нативные ошибки (утечка памяти, дистанционное выполнение кода, разыменование нулевого указателя и т. д.) приведены в Руководстве по выплатам для RCE на мобильных устройствах. Компания будет корректировать размер выплат с помощью коэффициента в зависимости от типа приложения.
    • Коэффициент для инцидентов в системной службе или с получением root-доступа — ×1.
    • Коэффициент для собственного приложения с высокими привилегиями — ×0,5.
    • Коэффициент для собственного приложения без привилегий — ×0,2.
    • Коэффициент для стороннего приложения — неприменимо.
  • От $500 до $5000 — проблемы, связанные с локальным хранилищем данных (сумма выплат зависит от типа данных).
  • От $500 до $3000 — атаки типа «отказ в обслуживании» (сумма выплат зависит от функции или сервиса, подвергшихся атаке).
  • От $500 до $1000 — ошибки в одном из драйверов Meta, работающих на уровне системы или root-доступа, кроме ошибок в самом проекте AOSP (сумма выплат зависит от типа ошибки).

Проблемы, общие для устройств Portal и Quest

  • От $500 до $5000 — проблемы, вызванные потенциально вредоносными сторонними приложениями, например умышленный перехват данных, доступ к конфиденциальным данным внутри системы или из других приложений (сумма выплат зависит от типа вредоносного действия).
  • $1250 — обход разрешительной модели приложений.

Проблемы с устройствами Quest

  • $5000 — несанкционированный доступ к микрофону из стороннего приложения.

Проблемы с устройствами Portal

  • $10 000 — программное вмешательство в схему включения красного светодиодного индикатора (индикатора выключения камеры).
  • $5000 — несанкционированный доступ к камере или микрофону либо программное вмешательство в схему включения зелёного светодиодного индикатора работы камеры.

Типы ошибок и выплаты за них

  • Если вредоносное стороннее приложение внедрит контент, который затем будет использоваться собственным приложением (например, изображения для слайд-шоу или аудиозапись для вызова), размер выплаты составит $1000.
  • Если стороннее приложение получит доступ к микрофону без отправки запроса на устройство Quest, размер выплаты составит $5000.
  • Если стороннее приложение на Quest получит возможность вывести из строя или отключить защитную систему, размер выплаты составит $3000.
  • Если удалённое выполнение кода через переполнение буфера в библиотеке голосового чата Quest приведёт к выполнению кода в привилегированном собственном приложении, выплата составит $16 000 (эксплойт в 1 клик); коэффициент 0,5 для инцидентов с удалённым выполнением кода в собственном приложении с высоким уровнем привилегий).
  • Если вы получите root-доступ к локальному устройству, вызвав повреждение кучи в системной службе, выплата составит $10 000.
  • Если вы получите root-доступ к удаленному устройству без взаимодействия с пользователем, применив собственное приложение без привилегий с использованием ошибки, которая связана с повреждением памяти драйвера, выплата составит $19 000 (повреждение памяти драйвера относится к эксплойтам, не требующим участия пользователя (0 кликов); коэффициент 0,2 для собственных приложений без привилегий; выплата в размере более $10 000 за получение root-доступа к устройству).

Meta в 2022 году выплатила исследователям в области безопасности около $2 миллионов. В этом году она получила около 10 000 отчётов, 750 (7,5%) из которых признаны подходящими для выплаты. Таким образом, средняя выплата вознаграждения в этом году составляет около $2700 за ошибку.

Голографика призывает резидентов Российской Федерации перед работой по Bug Bounty внимательно ознакомиться с законодательством по противодействию экстремистской деятельности, поскольку Meta имеет статус экстремистской организации, и сотрудничество с ней может иметь серьёзные последствия, включая уголовное преследование.

*В РФ признана экстремистской

Не пропускайте важнейшие новости о дополненной и виртуальной реальности — подписывайтесь на Голографику в Telegram, ВК и Twitter! Поддержите проект на Boosty.

Далее: Редактор дополненной реальности Blippbuilder получил поддержку Magic Leap 2 и Quest Pro