Project 【第二期】 小米小爱音箱mini安全守护计划 End
Total Prize(¥) 500000
Begin/End Time 2018-04-25 16:00:002018-05-31 00:00:00
小米小爱音箱mini(https://www.mi.com/aispeaker-mini),2018年3月27日发布,与前作小米AI音箱同样搭载小爱同学智能语音交互平台,支持操控智能家庭产品与丰富的语音交互服务。


测试时间 2018年4月25日 - 2018年5月31日
测试固件版本 >= 1.2.10
漏洞提交地址 https://sec.xiaomi.com/test/view/2


注:本活动奖励仅针对设备自身安全漏洞报告,非设备端漏洞将按 MiSRC 标准双倍奖励。


评分标准

小米重视产品在任何使用场景中面临的安全风险,并按利用条件与影响等因素进行威胁评估,具体分为 5 个维度:

  1. 漏洞危害 完全控制/篡改AI训练结果 20 分,超声识别/未授权控制智能家电 10 分,非重要功能控制/拒绝服务/扰民 5 分

  2. 影响范围 所有线上用户 10 分,特定条件下的大量用户 5 分,个别用户 1 分

  3. 隐私风险 可窃取麦克风音频 10 分,可窃取应用认证信息 5 分,可窃取用户交互记录等隐私信息 1 分

  4. 利用难度 互联网利用 40 分,近距无接触 20 分,局域网 10 分,物理接触 1 分

  5. 前提条件 无交互条件 20 分,需用户交互 10 分,强交互/非默认设置 1 分


奖励细节

  1. 本期小米智能生活安全守护计划奖金池总额 50 万元人民币

  2. 根据漏洞得分进行奖励,得分 / 100 * 奖励系数 ,90 分以上奖励系数 200000,71 - 90 分奖励系数 100000 ,70 - 51 分奖励系数 50000,50 及以下奖励系数 10000

  3. 第三方应用/库以及云端安全漏洞则按照 MiSRC 标准实施双倍奖励

  4. 终极目标除可获得满分奖励外,还可获取奖池最终剩余奖金,不同终极漏洞报告均分剩余奖金

  5. 提前公布细节、虚假漏洞、已知重复漏洞等行为不予奖励

  6. 如最终结果超过奖池 50 万上限,则对奖励进行等比稀释


本期终极目标

通过漏洞可以通过互联网远程无条件对特定的目标设备植入后门或获得最高权限,利用所获权限可远程获取用户端麦克风实时音频。

需要目标测试设备信息请联系 security@xiaomi.com


已知漏洞

小米安全团队会日常检测小米智能设备的漏洞与风险,公开测试发起前内部发现的已知漏洞不列入奖励范围。测试开始时,内部已知漏洞可能因补丁内测等因素尚未推送,导致测试者提交漏洞重复,我们会通过以下方案尽量避免纠纷:

  1. 根据实际情况尽量提供修复了已知漏洞的设备给白帽测试

  2. 我们会在第三方网站(GitHub)提前声明本次测试目标中已知安全漏洞报告文件的 Hash,在出现已知问题提交时我们为发现者提供内部报告原件已示公正

  3. 本期已知漏洞声明地址:https://github.com/MiSecurity/PublicTest/blob/master/Xiaomi_AI_mini.md


注意事项

  1. 违反测试条款泄露漏洞细节危害用户安全的,小米有权拒绝对其奖金发放

  2. 测试过程中不得影响正常用户使用,禁止使用 DDOS 等暴力测试攻击服务器,任何以测试为理由造成用户或者小米公司损失的,小米公司有权追究法律责任

  3. 任何因测试规则与测试过程中产生的争议情况可联系 security@xiaomi.com 协商解决

  4. 小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权

—   联系我们   —

新浪微博

公众号