漏洞提交地址 sec.xiaomi.com
活动简介
用户对智能产品的安全要求是小米的首要责任,为此我们发布小米智能生活安全守护计划 ,该计划针对小米系列智能产品中可能存在的安全隐患,以互联网众包形式邀请广大网络安全专家、白帽团队、电子工程师、爱好者对设备进行安全测试,最大程度发现未知安全风险并对结果重金奖励的测试计划。
活动时间
2018年9月7日 – 2018年10月12日
主办方
小米安全中心
活动详情
目标产品
小米米家智能摄像机(云台版),是一款 1080P 高清分辨率智能摄像机,支持双向语音传输、360度云台视角、Ai增强移动监测、夜视、视频SD卡/NAS/云加密存储等功能,与米家 APP 完美联动。
- 测试时间 2018年9月7日 – 2018年10月12日
- 测试固件版本 >= 3.4.2_0204
- 漏洞提交地址 sec.xiaomi.com
注:本期仅接受设备本身安全漏洞报告。
评分标准
小米重视产品在任何使用场景中面临的安全风险,并按利用条件与影响等因素进行威胁评估,具体分为 5 个维度:
- 漏洞危害 完全控制权 20 分,视频操作相关/拒绝服务 10 分,非视频功能控制 5 分
- 影响范围 所有用户 10 分,特定条件下的大量用户 5 分,个别用户 1 分
- 隐私风险 读写删视听数据 10 分,读视听数据 5 分,读Wi-Fi密码等隐私信息 1 分
- 利用难度 互联网利用 40 分,近距无接触 20 分,局域网 10 分,物理接触 1 分
- 前提条件 无交互条件 20 分,需用户交互 10 分,强交互/非默认设置 1 分
奖励细节
- 本期小米智能生活安全守护计划奖金池总额 50 万元人民币
- 根据漏洞得分进行奖励,得分 / 100 * 奖励系数 ,90 分以上奖励系数 200000,70 – 90 分奖励系数 100000 ,70 – 50 分奖励系数 50000,50 及以下奖励系数 10000
- 终极目标除可获得满分奖励外,还可获取奖池最终剩余奖金,不同终极漏洞报告均分剩余奖金
- 提前公布细节、虚假漏洞、已知重复漏洞等行为不予奖励
- 如最终结果超过奖池 50 万上限,则对奖励进行等比稀释
本期终极目标
通过漏洞可以远程给产品植入后门或获得最高权限,利用所获权限可窃取/篡改任意米家智能摄像机实时监控内容(视频、语音或录制的监控视频)。
- 需要目标测试设备信息请联系 security@xiaomi.com
- 邮件需要介绍一下自己/团队研究方向和成果,并注明安全客
注意事项
- 违反测试条款泄露漏洞细节危害用户安全的,小米有权拒绝对其奖金发放
- 测试过程中不得影响正常用户使用,禁止使用 DDOS 等暴力测试攻击服务器,任何以测试为理由造成用户或者小米公司损失的,小米公司有权追究法律责任
- 任何因测试规则与测试过程中产生的争议情况可联系 security@xiaomi.com 协商解决
- 小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权
- 测试过程与项目结束后,请对漏洞报告中所有细节严格保密,不得进行细节披露、公共PR等行为,违反者小米公司有权追究法律责任
发表评论
您还未登录,请先登录。
登录