Project 【长期】小米手机 & AIoT安全守护 Bundle 计划 In Process
Total Prize(¥) 10000000
Begin/End Time 2020-11-05 08:00:002021-10-30 00:00:00
【IoT 产品安全守护计划】升级为【小米手机 & AIoT安全守护 Bundle 计划】,单个漏洞最高100w,无限期测试,产品种类plus!

 


 

100W * n ,n = ? 

 

自 2018 年开始,小米安全团队推出一系列 IoT 产品安全守护计划,意在提升小米爆品智能设备安全,让大家买得安心,用着放心。同时也为广大 IoT 安全爱好者提供展现自我,勇夺豪礼的机会。

 

今年我们做出一个重大的决定,将「 IoT 产品安全守护计划」升级为「小米手机 & AIoT安全守护 Bundle 计划」(以下简称「B 计划」),单个漏洞最高奖励提升至 100万 !同时取消单品活动模式,将小米商城在售的小米与米家高安全要求产品面向社区进行开放无限期测试。「B 计划」代表着无限可能,品类多种多样,可以让您在自己擅长的技术领域中大放异彩,不再受到时间约束尽情发挥,以此回馈社区一直对小米无私的奉献。

 

该计划囊括AIoT产品以及手机,规则页面较长,请大家按需查阅。

 

 

 一、AIoT产品范围(持续更新)

 


 

1.1 漏洞评分细则 

 

小米重视产品在任何使用场景中面临的安全风险,「B 计划」将按照利用条件与影响等因素进行威胁评估,多个维度确定漏洞最终得分,具体分 5 个维度(总分 100,即 终极奖励)。

 

1.1.1 门锁类产品:

 

 

终极奖励:在门外(非开锁与未初始化情况下)近场环境无交互开启目标门锁,且该漏洞可以无条件在任意门锁上复现。

 


 

1.1.2 摄像头类产品:

 

 

终极奖励:在互联网环境下无任何条件即可以获取任意用户摄像头实时视频与音频数据流信息。

 


 

 二、手机产品范围(持续更新)

 

 

 2.1 漏洞评分细则 

 

 

2.3 攻击目标(效果)涉及的名词说明:

 

远程:指在不安装应用或不实际接触设备的情况下利用漏洞实施攻击,包括通过网页浏览、阅读短信彩信、收发邮件、无线网络通信(不包括通信距离小于10厘米的短距通信)等方式。

静默安装:指整个安装应用的过程用户无感知(不得出现安装选项卡,用户无法取消)

 

2.4 漏洞利用通用要求:

 

1、漏洞需要在最新MIUI官方稳定版ROM中可以复现,漏洞利用涉及到的APP需要通过小米应用商店或是Google Play Store升级到最新版本

2、漏洞利用需保持系统默认设置或正常使用手机的设置,且不能申请和使用 Accessibility 权限

3、漏洞利用需使用外界未曝光细节与PoC的 0day 漏洞(Chrome buglist内公开漏洞不能参与B计划)

4、每个参与B计划的报告必须选定唯一的攻击目标

5、所有漏洞需严格命中攻击目标(效果)才可参与B计划。否则将按照SRC的奖励标准给予奖励,并根据漏洞实际的危害给予一些额外奖励

 

 三、奖励计算细则:

 

1、每个漏洞根据规则的最终得分进行奖励,奖金 = ( 得分 / 100 ) * 奖励系数

2、提前公布细节、虚假漏洞、已知重复漏洞等行为不予奖励

 

 

 四、已知漏洞:

 

小米安全团队日常会发现小米智能设备在设计、硬件、通信、云端等漏洞与风险,但内部报告属于已知问题不进行漏洞奖励。「B计划」运营时,可能会遇到内部发现漏洞补丁过程中的情况,导致测试者提交漏洞重复,所以我们会通过以下方案尽量避免纠纷:

  • 提供内部漏洞报告邮件或 JIRA 截图

 

 五、注意事项:

 

1、违反测试条款泄露漏洞细节危害用户安全的,小米有权拒绝对其奖金发放

2、测试过程与项目结束后,请对漏洞报告中所有细节严格保密,不得进行细节披露、公共PR等行为,违反者小米有权拒绝对其奖金发放并追究法律责任

3、测试过程中不得影响正常用户使用,任何以测试为理由造成用户或者小米公司损失的,小米公司有权追究法律责任

4、任何因测试规则与测试过程中产生的争议情况可联系 security@xiaomi.com 协商解决

5、小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权

 

活动咨询,可添加QQ:3022560938

 

 

 

 

 

 

—   联系我们   —

新浪微博

公众号