Компания «Яндекс» сообщила о расширении bug bounty программы «Охота за ошибками» для умных устройств, в которую теперь входят новинки прошлого года — «Яндекс Станция Дуо Макс», «Станция Миди» и «ТВ Станции». Максимальная сумма вознаграждения за найденные уязвимости выросла с 600 000 до миллиона рублей.
Основной фокус делается на поиск ошибок в новых устройствах. Так, исследователи, которые сумеют обойти их защиту и обнаружить критичные уязвимости, получат вознаграждение в размере до миллиона рублей.
Также компания увеличила вознаграждение за найденные уязвимости в других устройствах, например, в «Станции Мини» с часами или «Станции Макс». Итоговый размер награды будет зависеть от уровня получаемых привилегий, типа устройства, критичности проблемы и ее влияния на безопасность.
Искать предлагается проблемы следующих видов:
- уязвимости приложений и сервисов на устройстве;
- уязвимости в ПО производителя SoC и Firmware;
- возможности обхода подписки;
- получение повышенных привилегий через интерфейсы на PCB;
- раскрытие критичной информации о пользователе.
В компании отмечают, что в эту bug bounty программу не входят устройства умного дома, телевизоры и прочие гаджеты, разработанные совместно с другими брендами. В свою очередь, инфраструктура вокруг умных устройств включена в рамки основной программы «Охоты за ошибками».