Миллионы устройств во всем мире работают на базе железа Qualcomm, и в продуктах компании не раз находили опасные уязвимости, к примеру, обнаруженный в конце лета 2016 года баг QuadRooter. Руководство Qualcomm Technologies решило немного поправить положение вещей и анонсировало запуск собственной программы bug bounty на платформе HackerOne.

Пока программа распространяется на ряд чипсетов семейства Snapdragon, на базе которых работают смартфоны и планшеты таких производителей как  Google, LG, Motorola, Sony, Asus, HTC, Samsung, Microsoft, BlackBerry и так далее. Полный список чипсетов таков:

  • Snapdragon 400
  • Snapdragon 615
  • Snapdragon 801
  • Snapdragon 805
  • Snapdragon 808
  • Snapdragon 810
  • Snapdragon 820
  • Snapdragon 821

Также в Qualcomm заинтересованы в уязвимостях, связанных с кодом ядра Linux, который является частью Android for MSM (версия 3.14 и выше), багах в бутлоадере, сотовых модемах, прошивках WLAN и Bluetooth, проблемах в работе привилегированных программ, работающих с системными или root-правами, а также уязвимостях Qualcomm Secure Execution Environment (QSEE) в Trustzone.

Компания готова заплатить исследователям за обнаружение проблем от $1000-2000 (за мало и умеренно опасные баги) до $15 000 (за критические баги в сотовых модемах). При этом компания не станет оплачивать локальные DoS-уязвимости или проблемы, связанные с тем, что OEM-производитель неверно настроил свои устройства или внес в них какие-то модификации.

Пока программа работает только по приглашениям, и более 40 экспертов, которые ранее уже находили уязвимости в продуктах Qualcomm, приглашены к участию. В будущем компания планирует расширять программу и приглашать новых специалистов. Также Алекс Гантман (Alex Gantman), вице-президент по разработкам Qualcomm, заметил, что «если кто-либо не участвующий в программе почувствует, что нашел хорошую уязвимость, пусть он без колебаний свяжется с нами».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии