.
A Samsung ofereceu sua primeira recompensa de US$ 1 milhão por bugs para quem conseguisse comprometer o Knox Vault, o subsistema isolado que a gigante coreana instala em seus smartphones para armazenar informações como credenciais e executar rotinas de autenticação.
A Samsung não facilitou a vida de um milionário detonador de bugs. Ganhar dinheiro requer demonstrar o uso de um método de clique zero – sem interação do usuário necessária – para invadir um aparelho Galaxy S ou Z como um usuário sem privilégios e sair com credenciais.
Como o Knox Vault tem seu próprio processador e armazenamento – ambos isolados do processador principal do aparelho e, portanto, resistentes a ataques que exploram recursos compartilhados – o desafio enfrentado pelos crackers é substancial.
Alcançar o mesmo resultado com acesso local renderá apenas até US$ 300.000, segundo os novos termos do Programa de Vulnerabilidade de Cenário Importante da Samsung.
Outro grande alvo de dinheiro é o TEEGRIS da Samsung – um ambiente de execução confiável presente em alguns dispositivos que usam os próprios Exynos SOCs da gigante coreana. Demonstrar um comprometimento bem-sucedido renderá US$ 400.000 se feito remotamente, enquanto um crack local renderá US$ 200.000. Mas esteja avisado: simplesmente subverter um aplicativo Trustlets no software não conta – você precisa derrotar o sistema operacional diretamente.
Para aqueles que gostam de atacar o sistema operacional Rich Execution Environment (REE) da Samsung, as recompensas são menos lucrativas: US$ 150.000 para um ataque local e o dobro para um remoto – mas novamente com ressalvas. Qualquer pagamento variará dependendo do grau de escalonamento de privilégios que os invasores podem atingir e da eficácia do código que eles podem executar.
Pessoas que conseguem desbloquear um dispositivo Samsung e roubar dados do usuário antes que o aparelho seja desbloqueado pela primeira vez ganharão até US$ 400.000 – embora isso dependa da quantidade de informações que podem ser roubadas. Se um invasor conseguir derrotar o mecanismo antimalware Auto Blocker da Samsung, então há outros US$ 100.000 em oferta, mas você precisará estabelecer uma presença persistente no dispositivo para obter o pagamento integral.
Outros aplicativos também estão incluídos no programa de pagamento. Conseguir instalar um aplicativo de uma loja de aplicativos de terceiros remotamente vale US$ 100.000, ou metade disso se feito localmente. Isso cai para US$ 60.000 e US$ 30.000 para aplicativos já na Galaxy Store da Samsung, para hacks remotos e locais, respectivamente.
“Depois de executar o programa por vários anos, a maior lição aprendida é que os pesquisadores são meus queridos e gratos amigos que dedicam seu tempo para olhar nossos produtos de várias perspectivas e ajudam a torná-los seguros e protegidos”, escreveu Jasper Park, líder da Equipe de Resposta a Incidentes de Segurança de Produtos da Samsung Mobile Security. “Agradeço sinceramente sua ajuda.”
Embora as grandes recompensas em dinheiro sejam tentadoras, o histórico da Samsung sugere que elas são proporcionais à dificuldade. Nos sete anos desde que a Samsung iniciou seu programa, o negócio pagou menos de US$ 5 milhões — e o maior prêmio individual do ano passado foi de apenas US$ 57.190. Em 2023, a Samsung desembolsou US$ 827.925 para 113 pessoas por seus esforços de busca de bugs.
Para dinheiro real, escolha Redmond
Em contraste, a Microsoft gastou muito dinheiro em bugs – 343 invasores de 55 países levaram para casa US$ 16,6 milhões nos 12 meses que terminaram em julho deste ano. A maior recompensa de Redmond foi de US$ 200.000 para um indivíduo não identificado.
A Microsoft resistiu à ideia de recompensas por bugs por anos, mas foi finalmente persuadida a experimentá-las após uma campanha de três anos por Katie Moussouris – então estrategista sênior de segurança de Redmond e agora CEO da Luta Security. O programa de recompensas foi lançado na conferência de segurança Black Hat 2013, com um prêmio máximo de US$ 100.000 e um laptop grátis – infelizmente executando o Windows 8.1, mas você não pode ter tudo.
Em um estudo subsequente, Moussouris encontrou algumas boas notícias para a Samsung: dinheiro não é necessariamente o principal fator motivador para alguns pesquisadores de segurança. Dois anos após a Microsoft iniciar seu programa de recompensas, ela conduziu uma pesquisa mostrando que, em alguns casos, a publicidade para os negócios dos localizadores de falhas era mais importante do que dinheiro vivo.
Mas o dinheiro é sempre bom, e é um programa barato para Redmond executar — custando cerca de duas horas de renda líquida para o criador de software, com base em suas contas de 2024.
“O Microsoft Bounty Program é crucial para nossa estratégia proativa de programas de pesquisa incentivados para envolver a comunidade de pesquisa externa em parcerias e proteger nossos clientes contra ameaças de segurança”, comentou Madeline Eckert, gerente sênior de programas de incentivos a pesquisadores da Microsoft.
“Esses programas incentivam os pesquisadores a descobrir vulnerabilidades em superfícies de ataque de alta prioridade, permitindo que a Microsoft fortaleça nossos produtos em um cenário de segurança em constante mudança.” ®
.
