公告
back

小米智能生活安全守护计划 第一期

由 大魔王 于 2018-01-12 12:08:09 发表

活动简介

用户对智能产品的安全要求是小米的首要责任,为此我们发布 小米智能生活安全守护计划 ,该计划针对小米系列智能产品中可能存在的安全隐患,以互联网众包形式邀请广大网络安全专家、白帽团队、电子工程师、爱好者对设备进行安全测试,最大程度发现未知安全风险并对结果重金奖励的测试计划。


本期目标产品

 

米家智能摄像机(米家智能摄像机 - 小米商城),是一款 1080P 高清分辨率智能摄像机,支持双向语音传输、2.4/5G 双频 Wi-Fi、低功耗蓝牙、活动监测、夜视、SD/NAS 视频存储等功能,与米家 APP 完美联动。

• 测试时间 2018112 - 2018222

• 测试固件版本 >= 3.3.10_0155

• 漏洞提交地址 小米安全中心

注:本期仅接受设备本身安全漏洞报告,设备可在 MiSRC 进行【积分兑换】


评分标准

小米重视产品在任何使用场景中面临的安全风险,并按利用条件与影响等因素进行威胁评估,具体分为 5 个维度:

1. 漏洞危害 完全控制 20 分,重要功能控制/拒绝服务 10 分,非重要功能控制 5

2. 影响范围 所有用户 10 分,特定条件下的大量用户 5 分,个别用户 1

3. 隐私风险 可读写删视听数据 10 分,可读视听数据 5 分,可读Wi-Fi密码等隐私信息 1

4. 利用难度 互联网利用 40 分,近距无接触 20 分,局域网 10 分,物理接触 1

5. 前提条件 无交互条件 20 分,需用户交互 10 分,强交互/非默认设置 1


奖励细节

1. 本期小米智能生活安全守护计划奖金池总额 50 万元人民币

2. 根据漏洞得分进行奖励,得分 / 100 * 奖励系数 90 分以上奖励系数 20000070 - 90 分奖励系数 100000 70 - 50 分奖励系数 5000050 及以下奖励系数 10000

3. 终极目标除可获得满分奖励外,还可获取奖池最终剩余奖金,不同终极漏洞报告均分剩余奖金

4. 提前公布细节、虚假漏洞、已知重复漏洞等行为不予奖励

5. 如最终结果超过奖池 50 万上限,则对奖励进行等比稀释


本期终极目标

远程(通过互联网)获取任意设备最高(root)权限

• 需要目标测试设备信息请联系 security@xiaomi.com 


已知漏洞

小米安全团队日常会发现小米智能设备在设计、硬件、通信、云端等漏洞与风险,但内部报告属于已知问题不进行漏洞奖励。

测试开始时,内部已知漏洞可能因补丁内测等因素尚未推送,导致测试者提交漏洞重复,所以我们会通过以下方案尽量避免纠纷:

1. 根据实际情况尽量提供修复了已知漏洞的设备给白帽测试

2. 我们会在第三方网站(GitHub)提前声明本次测试目标中已知安全漏洞内容的 Hash,在出现已知问题提交时我们为发现者提供内部报告原件已示公正

• 本期已知漏洞声明地址:https://github.com/XiaomiSec/PublicTest


注意事项

1. 违反测试条款泄露漏洞细节危害用户安全的,小米有权拒绝对其奖金发放

2. 测试过程中不得影响正常用户使用,禁止使用 DDOS 等暴力测试攻击服务器,任何以测试为理由造成用户或者小米公司损失的,小米公司有权追究法律责任

3. 任何因测试规则与测试过程中产生的争议情况可联系 security@xiaomi.com 协商解决

4. 小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权