Project 【第七期】小米智能生活安全守护百万赏金挑战 In Process
Total Prize(¥) 1000000
Begin/End Time 2019-11-07 00:00:002019-12-30 00:00:00
本期为小米智能生活守护计划特别活动——「百万赏金挑战」,重点面向小米9手机的用户数据安全,并且准备了 100 万元现金奖池,期待您的参与。

活动简介

用户对智能产品的安全要求是小米的首要责任,为此我们发布 小米智能生活安全守护计划 ,该计划针对小米系列智能产品中可能存在的安全隐患,以互联网众测形式邀请广大网络安全专家、白帽团队、电子工程师、爱好者对设备进行安全测试,最大程度发现未知安全风险并对结果重金奖励的测试计划。

 

本期目标产品

小米9,是小米公司2019年旗舰手机,采用:高通骁龙855平台,最高配备12GB内存+256GB存储;搭载索尼三摄全焦段镜头1200万人像镜头,4800万像素主摄,1600万微距+超广角;6.39英寸三星AMOLED水滴屏。

  • 测试时间 2019年11月7日 - 2019年12月30日
  • 测试 ROM 版本 >= 11.0.2
  • 测试浏览器版本 >= 11.1.5
  • 漏洞提交地址

 

活动规则

漏洞满足以下规则并且验证真实有效时,方可进入本次「百万赏金挑战」奖金评估。

 
1、漏洞利用要求:
官方小米9手机稳定版 rom( 版本需升级至 >= 11.0.2)
浏览器版本 >= 11.1.5(如低于该版本可通过以下地址安装 https://cdn.cnbj1.fds.api.mi-img.com/hack/test/signed_PLATFORM_Browser-release.apk)
默认系统设置,无任何改动
不能申请和使用 Accessibility 权限
外界未曝光细节与 POC 的 0day 漏洞(Chrome buglist 内公开漏洞不在奖励计划内)
漏洞(包括 root 权限提升)只在同一个利用场景中判定有效,其他场景不得重复利用
 

2、交互定义说明:

针对于包括但不限于需要诱导用户点击链接、钓鱼email、诱导用户安装恶意应用等行为才能触发的安全漏洞。分为无交互、弱交互和强交互三种类型:

  • 无交互(无需物理接触前提,如网络中间人、消息推送、远程攻击这类场景),奖励系数 = 1
  • 弱交互(针对于诱导用户点击链接、点击查看钓鱼邮件/短信内容才可触发漏洞这类情况),奖励系数 = 0.7
  • 强交互(针对于诱导用户安装恶意应用、需要目标小米账号密码、插入数据线才可触发漏洞这类情况),奖励系数 = 0.4

 

3、漏洞验证方式:

白帽子提供完整漏洞利用链,小米安全团队通过官方小米9手机在默认设备要求下进行无交互验证,复现成功则确认漏洞与攻击场景成立
如漏洞在无交互前提下未能成功复现,小米安全团队会对漏洞利用链中有效的漏洞进行单独折算奖励

 

4、漏洞有效性:

漏洞有效性以最先提交为准,后续提交的重复漏洞不纳入「百万赏金挑战」奖励范围,但我们依然会对 POC 链内非重复漏洞内容进行场景折算奖励(如完整复现 POC 链中有 3 个漏洞,其中一项未重复,则奖励为完整奖励的 1/3)。

PS:如担心漏洞重复,提交前可以向 security@xiaomi.com 先行提供漏洞片段信息,安全团队进行验重确认。

 

 

奖励标准

本期活动漏洞影响范围如下,其他风险不纳入本次「百万赏金挑战」,但仍依照 MiSRC 奖励标准进行相应奖励:

漏洞级别 漏洞描述 奖励
严重 远程在特权进程中执行任意代码或静默安装并运行恶意APP 200,000
严重 利用基带漏洞向操作系统中注入恶意代码并执行 200,000
严重 通过短信息(短信/网络短信)执行任意代码 200,000
严重 通过近场通信协议(NFC、蓝牙或Wi-Fi)自身漏洞执行任意代码 200,000
高危 绕过Android系统权限申请机制,静默获取任意访问权限 200,000
高危 绕过浏览器沙箱防护读取系统本地任意应用存储空间 100,000
高危 系统级别的锁屏密码绕过 100,000
高危 绕过本地安全限制修改系统设置(比如打开开发者选项) 100,000


奖金计算方法:相应奖励系数 x 交互奖励系数 + 挑战项(成功达成前提)

挑战项:

通过未公开 0day 漏洞在任意场景可以获取小米9 root 权限(官方 root 工具除外),直接奖励 100,000 元奖金。

 

 

注意事项

  1. 违反测试条款泄露漏洞细节危害用户安全的,小米有权拒绝对其奖金发放并追究其相关法律责任
  2. 测试过程与项目结束后,请对漏洞报告中所有细节严格保密,如需要进行细节披露、PR、技术演讲/分享等行为,请联系 security@xiaomi.com 征求意见,违反者小米公司有权追究法律责任
  3. 测试过程中不得影响正常用户使用,禁止使用 DDOS 等暴力测试攻击服务器,任何以测试为理由造成用户或者小米公司损失的,小米公司有权追究法律责任
  4. 任何因测试规则与测试过程中产生的疑问可联系 security@xiaomi.com 协商解决
  5. 小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权

—   联系我们   —

新浪微博

公众号