Миллионы устройств во всем мире работают на базе железа Qualcomm, и в продуктах компании не раз находили опасные уязвимости, к примеру, обнаруженный в конце лета 2016 года баг QuadRooter. Руководство Qualcomm Technologies решило немного поправить положение вещей и анонсировало запуск собственной программы bug bounty на платформе HackerOne.
Пока программа распространяется на ряд чипсетов семейства Snapdragon, на базе которых работают смартфоны и планшеты таких производителей как Google, LG, Motorola, Sony, Asus, HTC, Samsung, Microsoft, BlackBerry и так далее. Полный список чипсетов таков:
- Snapdragon 400
- Snapdragon 615
- Snapdragon 801
- Snapdragon 805
- Snapdragon 808
- Snapdragon 810
- Snapdragon 820
- Snapdragon 821
Также в Qualcomm заинтересованы в уязвимостях, связанных с кодом ядра Linux, который является частью Android for MSM (версия 3.14 и выше), багах в бутлоадере, сотовых модемах, прошивках WLAN и Bluetooth, проблемах в работе привилегированных программ, работающих с системными или root-правами, а также уязвимостях Qualcomm Secure Execution Environment (QSEE) в Trustzone.
Компания готова заплатить исследователям за обнаружение проблем от $1000-2000 (за мало и умеренно опасные баги) до $15 000 (за критические баги в сотовых модемах). При этом компания не станет оплачивать локальные DoS-уязвимости или проблемы, связанные с тем, что OEM-производитель неверно настроил свои устройства или внес в них какие-то модификации.
Пока программа работает только по приглашениям, и более 40 экспертов, которые ранее уже находили уязвимости в продуктах Qualcomm, приглашены к участию. В будущем компания планирует расширять программу и приглашать новых специалистов. Также Алекс Гантман (Alex Gantman), вице-президент по разработкам Qualcomm, заметил, что «если кто-либо не участвующий в программе почувствует, что нашел хорошую уязвимость, пусть он без колебаний свяжется с нами».