漏洞提交地址:https://sec.xiaomi.com/submit/project/9
活动简介
用户对智能产品的安全要求是小米的首要责任,为此我们发布小米智能生活安全守护计划 ,该计划针对小米系列智能产品中可能存在的安全隐患,以互联网众测形式邀请广大网络安全专家、白帽团队、电子工程师、爱好者对设备进行安全测试,最大程度发现未知安全风险并对结果重金奖励的测试计划。
测试时间
2020年8月13日 – 2020年9月30日
活动地点
漏洞提交地址:https://sec.xiaomi.com/submit/project/9
提交的漏洞需满足以下规则,经验证漏洞在规定的场景中真实有效,方可参与本次小米10安全守卫战奖金评估。
活动详情
目标产品
小米10:小米公司2020年的旗舰手机,采用骁龙865处理器 / 1亿像素8K电影相机 / 双模5G / 新一代LPDDR5内存 / 对称式立体声 / 90Hz刷新率+180Hz采样率 / 适配Wi-Fi 6 /30W极速闪充+30W无线闪充 / 4780mAh大电量 / 多功能NFC
测试 ROM 版本>= 12.0.4(能获取到的最新版rom)
测试浏览器版本 >= 12.6.22
漏洞利用要求
交互定义说明
针对包括但不限于需要诱导用户点击链接、钓鱼邮件、诱导用户安装恶意应用等行为才能触发的安全漏洞。分为无交互、弱交互和强交互三种类型,具体说明如下:
漏洞验证方式
- 漏洞分析的详细报告,包括必要的调用链描述+截图
- 验证漏洞的poc,或exp 的源码+apk
- 存在多交互场景或者具备一定演示效果的,上传录制视频
- 漏洞复现成功,会确认漏洞与攻击场景成立
- 漏洞复现失败,会对漏洞利用链中有效的漏洞进行单独折算奖励
漏洞有效性
奖励标准
本期活动漏洞影响范围如下(其他风险不纳入本次小米 10 安全守卫战,但仍依照MiSRC奖励标准进行相应的奖励)
奖金计算方法:相应奖励系数 x 交互奖励系数 + 挑战项(成功达成前提)
挑战项
通过未公开 0day 漏洞在任意场景可以获取小米10 root 权限(官方 root 工具除外),直接奖励 100,000 元奖金。
注意事项
加入小米智能生活安全守护计划交流群:
发表评论
您还未登录,请先登录。
登录