Antropolog
Active Level 6
Options
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Samsung Mobile ürünlerinin güvenliğini artırmaya yardımcı olma niyetiniz ve ilginiz için teşekkür ederiz.
Güvenlik ve gizlilik konularını çok ciddiye alıyoruz; ve Samsung Mobile'ın ürünlerimizin güvenliğini iyileştirmesine ve son tüketicilerimize yönelik riskleri en aza indirmesine yardımcı olduğumuz için teşekkür olarak, uygun güvenlik açığı raporları için bir ödül programı sunuyoruz.
Samsung Mobile Security Rewards Programına ilişkin yönergeler ve uygunluk hakkında daha fazla bilgi için lütfen aşağıya bakın.
Samsung Mobile Security Rewards Programımıza devam eden ilgi ve katılımlarınızı bekliyoruz. Bu ödül programı aracılığıyla, Samsung Mobile ile güvenlik sorunlarının ifşa edilmesini koordine eden araştırmacılarla değerli ilişkiler kurmayı ve sürdürmeyi umuyoruz.
Sorunsuz ve zamanında çalışmayı sağlamak için, ödül programı için güvenlik raporları göndermeden önce lütfen aşağıdaki gereksinimleri ve yönergeleri dikkatlice okuduğunuzdan ve tam olarak anladığınızdan emin olun.
Güvenlik raporları göndermek için lütfen Güvenlik Raporları sayfasına bakın .
Ödül kalifikasyonu için koşullar:
1. Güvenlik açığı raporu ("Rapor"), uygun Samsung Mobile cihazları, hizmetleri, Samsung Mobile tarafından geliştirilen ve imzalanan uygulamalar veya Samsung Mobile için geliştirilmiş uygun 3. taraf uygulamalar için geçerli olmalıdır.
Mevcut en son Android sürümünde ve donanım yazılımında Uygun Samsung Mobil Cihazlar:
Modeller
Galaxy Fold, Galaxy Fold 5G, Galaxy Z Fold2, Galaxy Z Fold2 5G, Galaxy Z Flip, Galaxy Z Flip 5G, W20 5G, W21 5G
Galaxy S serisi (S8 Active, S8 Lite, S9, S9+, S10, S10+, S10e, S10 5G, S10 Lite, S20, S20 5G, S20+, S20+ 5G, S20 Ultra, S20 Ultra 5G, S20 FE, S20 FE 5G, S21 5G, S21+ 5G, S21 Ultra 5G)
Galaxy Note serisi (Note FE, Note 8, Note9, Note10, Note10 5G, Note10+, Note10+ 5G, Note10 Lite, Note20, Note20 5G, Note20 Ultra, Note20 Ultra 5G)
Galaxy A serisi (A6, A6+, A7 (2018), A8 (2018), A8+ (2018), A8 Star, A8s, A9 (2018), A2 Core, A10, A10e, A10s, A20, A20e, A20s, A30, A30s, A40, A50, A50s, A60, A70, A70s, A80, A90 5G, A01, A01 Çekirdek, A11, A21, A21s, A31, A41, A51, A51 5G, A71, A71 5G, A02, A02s, A12, A22, A22 5G, A32, A32 5G, A42 5G, A52, A52 5G, A72, A82 5G)
Galaxy J serisi (J2 Core (2018), J3 Top, J4, J4+, J4 Core, J6, J6+, J7 Duo, J7 Top, J7 Prime2, J7+, J8)
Galaxy M serisi (M10, M10s, M20, M30, M30s, M40, M01, M11, M21, M21 2021, M31, M31s, M51, M12, M32, M42 5G, M62)
Galaxy F serisi (F12, F22, F52 5G, F62)
Galaxy Tab serisi (Tab Active2, Tab Active Pro, Tab Active3, Tab A (2017), Tab A 10.5 (2018), Tab A 8 (2019), Tab A 10.1 (2019), S pen ile Tab A, Tab A 8.4 (2020), Sekme A7, Sekme A7 Lite, Sekme E (8.0) Yenile, Sekme S4, Sekme S5e, Sekme S6, Sekme S6 5G, Sekme S6 Lite, Sekme S7, Sekme S7+, Sekme S7 Lite, Görünüm2)
Galaxy XCover serisi (Xcover4s, XCover FieldPro, Xcover Pro, Xcover5)
Geçerli Samsung Mobile hizmetleri şu anda etkin olmalıdır. Samsung'un diğer bölümleri tarafından sunulan hizmetlerdeki güvenlik açıkları ödül almaya uygun olmayabilir.
Samsung Mobile tarafından geliştirilen ve imzalanan uygulamalar en son güncellemeyle güncel olmalıdır.
3. taraf yazılımlardaki güvenlik açıkları genel olarak ödül için uygun değildir.
2. Belirli bir güvenlik açığının mükerrer Raporlarının alınması durumunda, yalnızca ilk Rapor ödül almaya hak kazanır. Bazı durumlarda, güvenlik açığına yönelik düzeltme ekinin yayımlanması zaten planlanmışsa, Raporlar yinelenen olarak kabul edilebilir.
3. Aşağıdaki kategorilerle ilgili raporlar uygun değildir :
Güvenlik etkisi olmayan yazılım hataları
Yazılımın Samsung tarafından uygulanan güvenlik konseptiyle tutarlı davranışı
Bilgisayar korsanlığı araçlarıyla aygıta fiziksel bağlantı gibi bir güvenlik açığından yararlanmak için aşırı ön koşullar gerektir
(Kilidi açık veya Geliştirici modu olarak yapılandırılmış aygıtın kilidinin açık olduğunu varsayan güvenlik açıkları düşürülebilir veya Güvenlik Etkisi Yok olarak kabul edilebilir.)
Uygulama düzeyinde bir çökmeye neden olun veya bir istismar olmadan MITM veya SQL enjeksiyon olasılığından bahsedin
(pratik güvenlik etkisi olmayan SQL enjeksiyonu Güvenlik Etkisi Yok olarak kabul edilebilir ve bu nedenle muhtemelen uygun olmayabilir.)
Aşırı kullanıcı etkileşimi gerektiren veya kimlik avı veya tıklama hırsızlığı gibi kullanıcıları kandıran senaryolar
İstismar karmaşık bir senaryoya dayalıdır veya istismar olasılığı çok düşüktür
Yalnızca Samsung cihazlarını değil, diğer Android cihazlarını da etkileyen bir 3. taraf kodunun güvenlik açığı
Diğer hata ödül programları (Android Rewards, Qualcomm Bug Bounty, vb.) tarafından kapsanan güvenlik açıkları (Samsung'u ve diğer Android cihazlarını etkileyen) geçerli değildir.
Samsung ve bağlı kuruluşları, ortakları veya Samsung tarafından istihdam edilen kişilerin aileleri tarafından istihdam edilen kişilerden gelen raporlar
Samsung Gizli bilgilerine yasa dışı erişim yoluyla alınan veya elde edilen bilgilere dayalı raporlar
Halihazırda herkese açık olan bilgilere dayalı raporlar
Güvenli kilit (PIN, Model, Parola veya Biyometrik) kimlik doğrulaması zorunlu kılındığında azaltılabilecek senaryolar
Katılımcı, Ödülleri almadan veya Samsung'dan diskalifiye bildirimini almadan önce Raporunda yer alan herhangi bir içeriği veya bilgiyi ifşa ederse.
Raporlar "biletleme sistemi" aracılığıyla gönderilmez, ancak doğrudan e-posta yoluyla gönderilir ( mobile.security@samsung.com ).
4. Samsung Mobile Security Rewards Programı ("ödül programı") Samsung Mobile tarafından yürütülür ve Samsung Mobile ürün ve hizmetlerinin güvenliğini artırmak için uygun katılımcılara parasal ödüller sunar. Böylece, ödül programının başlangıcından ödemeye kadar olan süreci, önem derecesi ve ödül miktarı kararı ile hüküm ve koşullar tamamen Samsung tarafından belirlenecek ve yönetilecektir. Ödül programı için politika, yönergeler, nitelik gereksinimleri ve uygunluk gereksinimleri önceden haber verilmeksizin değiştirilebilir. Ayrıca ödül programını istediğimiz zaman durdurabiliriz.
5. Ödül programına katılım ve Samsung Mobile'a bildirimde bulunmak, herhangi bir yasa dışı faaliyeti içermeyecektir:
Samsung Mobile hizmetleri kesintiye uğramamalı ve raporlama, herhangi bir Samsung dahili veya harici sunucusuna saldırmamalı veya verilere veya fiziksel varlıklara zarar vermemelidir.
Ödül programına katılım veya Samsung Mobile'a bildirimde bulunmak, geçerli herhangi bir yasa ve düzenlemeyi veya herhangi bir üçüncü taraf hakkını (fikri mülkiyet hakları dahil) ihlal etmemelidir.
6. Katılımcıların yorumları ve gerekçeleri dikkatle değerlendirilecek olsa da, Samsung tamamen kendi takdirine bağlı olarak aşağıdakilere karar verecektir:
Raporun ödül programına uygun olup olmadığı
Her Rapora hangi düzeyde güvenlik riski ("önem derecesi") atanır?
Nihai ödül miktarı
7. Ödül uygunluğu için, katılımcılardan mobile.security@samsung.com adresinden iletişim yoluyla Samsung ile koordinasyon sağlanıncaya kadar güvenlik açığını kamuya açıklamamaları veya açıklamamaları istenir.
8. Bildirilen güvenlik açığı veya ilgili açıklardan yararlanmalar, herhangi bir yasa dışı etkinlik için kullanılmayacaktır.
9. Güney Kore hükümeti tarafından yaptırım uygulanan ülkelerde ikamet edenler ödül programından yararlanamazlar.
10. Yerel yasanıza bağlı olarak, ödül programına katılmaya uygunluğunuzla ilgili ek kısıtlamalar olabilir.
11. Raporların ortaklarımızla paylaşılabileceğini onaylıyor ve kabul ediyorsunuz.
Ödül miktarı ve süreci
1. Ödül miktarı, nitelikli Raporlar için 200 ABD Doları ile 200.000 ABD Doları arasında değişecektir. Genellikle, daha yüksek önemdeki sorunlar, daha fazla ödül miktarı sunulacaktır. Bununla birlikte, ödül miktarını tahmin etmek için, rapor kalitesi, etkilenen kapsam, saldırıların zorluğu vb. gibi önem düzeyi dahil olmak üzere çeşitli faktörleri göz önünde bulundururuz. Bu nedenle, iyi nitelikli daha düşük önem derecesine sahip bir konu, daha yüksek önem derecesine sahip bir sorundan daha fazla ödül alabilir. Öte yandan, Güvenlik Etkisi Olmayan Raporlara ödül verilmeyeceğini lütfen anlayın. Ayrıca, yalnızca bir yazılım hatasını veya Samsung tarafından uygulanan güvenlik konseptiyle tutarlı bir yazılımın davranışını tanımlayan Raporlar, Güvenlik Etkisi Olmadan Amaçlandığı Şekilde Çalışıyor olarak değerlendirilecektir.
2. Rapor geçerli bir Kavram Kanıtı içermiyorsa, ödüllerin niteliğine yeniden üretilebilirlik ve güvenlik açığının ciddiyetine göre karar verilecek ve ödül miktarı önemli ölçüde azaltılabilecektir.
3. Daha yüksek güvenlik riski ve etkisi olan güvenlik açıkları için daha yüksek ödül miktarı sunulacak ve TEE veya Önyükleyici güvenliğinin ihlal edilmesine yol açan güvenlik açıkları için daha da yüksek ödül miktarı sunulacak. Öte yandan, güvenlik açığı ayrıcalıklı bir süreç olarak çalışmayı gerektiriyorsa, ödül miktarı önemli ölçüde azaltılabilir.
4. İkamet ettiğiniz ülkeye ve vatandaşlığınıza bağlı olarak herhangi bir vergi etkisinden siz sorumlusunuz. Stopaj vergisi, parasal ödülden geçerli yargı yasalarına göre düşülebilir ve vergi oranı geçerli ülkelere göre farklılık gösterebilir.
5. Nitelikli Raporlar için ödüller, ödeme işlemi aracılığıyla Samsung'un belirlenmiş ortağı Bugcrowd aracılığıyla ödenecek ve süreç sırasında Bugcrowd katılımcılarla iletişime geçecektir.
6. Bu ödül programı süreci, Raporun veya katılımcının güvenlik açığını ele alma biçiminin yeterlilik gerekliliklerini veya diğer gerekli koşulları karşılamaması durumunda sonlandırılacaktır.
7. Ödül programı süreci başlatıldıktan sonra, gerekli belgelerin eksiksiz olarak hazırlanması ve gerekli tüm bilgilerin zamanında sunulması koşuluyla ödülün ödenmesi 2 ay veya daha fazla sürebilir.
0 Comments
