Ödül Programı Samsung Mobil
Samsung Mobile ürünlerinin güvenliğini iyileştirmeye yardımcı olma konusundaki ilginizi ve niyetinizi takdir ediyoruz.
Güvenlik ve gizlilik konularını çok ciddiye alıyoruz; Samsung Mobile'ın ürünlerimizin güvenliğini iyileştirmesine ve son tüketicilerimiz için riski en aza indirmesine yardımcı olmanızın bir takdiri olarak, uygun güvenlik açığı raporları için bir ödül programı sunuyoruz.
Samsung Mobile Güvenlik Ödül Programı için yönergeler ve uygunluk hakkında daha fazla bilgi için lütfen aşağıyı kontrol edin.
Samsung Mobile Güvenlik Ödül Programımıza olan ilginizi ve katılımınızı sürdürmenizi dört gözle bekliyoruz. Bu ödül programı aracılığıyla, Samsung Mobile ile güvenlik sorunlarının ifşasını koordine eden araştırmacılarla değerli ilişkiler kurmayı ve sürdürmeyi umuyoruz.
Sorunsuz ve zamanında bir çalışma sağlamak için, lütfen ödül programı için güvenlik raporları göndermeden önce aşağıdaki gereklilikleri ve yönergeleri dikkatlice okuyup tamamen anladığınızdan emin olun. Güvenlik raporları göndermek için lütfen Güvenlik Raporlama
sayfasına bakın .
Ödül almaya hak kazanma koşulları:
1. Güvenlik açığı raporu ("Rapor"), uygun Samsung Mobile cihazlarına (aşağıda listelenen akıllı telefonlar, tabletler ve giyilebilir cihazlar dahil), Samsung Mobile tarafından geliştirilen ve imzalanan hizmetlere, uygulamalara veya Samsung Mobile için geliştirilen uygun üçüncü taraf uygulamalarına uygulanabilir olmalıdır.
En son mevcut Android sürümleri ve yazılımlarıyla uygun Samsung Mobil Cihazlar: Galaxy Fold, Galaxy Fold 5G, Galaxy Z Fold2, Galaxy Z Fold2 5G, Galaxy Z Fold3 5G, Galaxy Z Fold4, Galaxy Z Fold5, Galaxy Z Flip, Galaxy Z Flip 5G, Galaxy Z Flip3 5G, Galaxy Z Flip4, Galaxy Z Flip5, W20 5G, W21 5G, W22 5G, W23, W23 flip
Galaxy S serisi (S10 Lite, S20, S20 5G, S20+, S20+ 5G, S20 Ultra, S20 Ultra 5G, S20 FE, S20 FE 5G, S21 5G, S21+ 5G, S21 Ultra 5G, S21 FE 5G, S22, S22+, S22 Ultra, S23, S23+, S23 Ultra)
Galaxy Note serisi (Note10 Lite, Note20, Note20 5G, Note20 Ultra, Note20 Ultra 5G)
Galaxy A serisi (A20s, A30s, A50s, A70s, A90 5G, A01, A11, A21, A21s, A31, A41, A51, A51 5G, A71, A71 5G, A02, A02s, A12, A22, A22 5G, A22e 5G, A32, A32 5G, A42 5G, A52, A52 5G, A52s 5G, A72, A82 5G, A03, A03 core, A03s, A13, A13 5G, A23, A23 5G, A33 5G, A53 5G, A73 5G, A04, A04s, A04e, A14, A14 5G, A24, A34 5G, A54 5G)
Galaxy M serisi (M10s, M30s, M01, M11, M21, M21 2021, M31, M31s, M51, M12, M22, M32, M32 5G, M42 5G, M52 5G, M62, M13, M13 5G, M23 5G, M33 5G, M53 5G, M04, M14 5G, M34 5G, M54 5G)
Galaxy F serisi (F12, F22, F42 5G, F52 5G, F62, F13, F04, F14 5G, F34 5G, F54 5G)
Galaxy Tab serisi (Tab Active Pro, Tab Active3, Tab Active4 Pro, Tab A 8.4 (2020), Tab A7, Tab A7 Lite, Tab A8, Tab S6, Tab S6 5G, Tab S6 Lite, Tab S7, Tab S7+, Tab S7 Lite, Tab S8, Tab S8+, Tab S8 Ultra, Tab S9 Ultra, Tab S9 Plus, Tab S9)
Galaxy XCover serisi (Xcover Pro, Xcover5, Xcover6 Pro)
Galaxy Watch4, Galaxy Watch4 Classic, Galaxy Watch5, Galaxy Watch5 Pro, Galaxy Watch6, Galaxy Watch6 ClassicUygulanabilir Samsung Mobil hizmetleri şu anda etkin olmalıdır. Samsung'un diğer bölümleri tarafından sunulan hizmetlerdeki güvenlik açıkları ödül için uygun olmayabilir.
Samsung Mobile tarafından geliştirilen ve imzalanan uygulamaların en son güncellemeye sahip olması gerekmektedir.
Üçüncü parti yazılımlardaki güvenlik açıkları genel olarak ödüle layık görülmez.
2. Belirli bir güvenlik açığının yinelenen Raporları alınması durumunda, yalnızca ilk Rapor ödül almaya hak kazanır. Bazı durumlarda, güvenlik açığı için yama zaten yayınlanmak üzere planlanmışsa Raporlar da yinelenen olarak kabul edilebilir.
3. Aşağıdaki kategorilere ilişkin raporlar uygun değildir :
Güvenlik açısından hiçbir etkisi olmayan yazılım hataları
Samsung tarafından uygulanan güvenlik konseptine uygun bir yazılım davranışı
Bir güvenlik açığından yararlanmak için, cihaza fiziksel bağlantı gibi aşırı ön koşullar gerektirir
(Cihazın kilidinin açıldığını veya Geliştirici modu olarak yapılandırıldığını varsayan güvenlik açıkları düşürülebilir veya Güvenlik Etkisi Yok olarak değerlendirilebilir.)Uygulama düzeyinde bir çökmeye neden olabilir veya herhangi bir exploit olmadan MITM veya SQL enjeksiyonu olasılığından bahsedebilir
(Pratik bir güvenlik etkisi olmayan SQL enjeksiyonu, Güvenlik Etkisi Yok olarak değerlendirilebilir ve dolayısıyla uygun olmayabilir.)Aşırı kullanıcı etkileşimi gerektiren veya kimlik avı veya tıklama gaspı gibi kullanıcıları kandıran senaryolar
Saldırı karmaşık bir senaryoya dayanıyor veya saldırı olasılığı çok düşük
Sadece Samsung cihazlarını değil, diğer Android cihazlarını da etkileyen 3. parti bir kodun güvenlik açığı
Diğer hata ödül programları (Android Rewards, Qualcomm Hata Ödülü vb.) tarafından kapsanan güvenlik açıkları (Samsung ve diğer Android cihazlarını etkileyen) uygun değildir.
Samsung ve iştirakleri, ortakları veya Samsung tarafından istihdam edilen kişilerin aileleri tarafından sağlanan raporlar
Samsung'un yasadışı erişimiyle alınan veya elde edilen bilgilere dayalı raporlar Gizli bilgiler
Zaten kamuya açık olan bilgilere dayalı raporlar
Güvenli kilit (PIN, Desen, Parola veya Biyometrik) kimlik doğrulaması uygulandığında azaltılabilecek senaryolar
Katılımcının, ödülleri almadan veya Samsung'dan diskalifiye bildirimini almadan önce Raporunda yer alan herhangi bir içerik veya bilgiyi ifşa etmesi halinde.
Raporlar "bilet sistemi" üzerinden değil, doğrudan e-posta yoluyla ( mobil.security@samsung.com ) gönderilmelidir.
4. Samsung Mobile Güvenlik Ödül Programı ("ödül programı"), Samsung Mobile tarafından işletilmektedir ve Samsung Mobile ürün ve hizmetlerinin güvenliğini iyileştirmek için uygun katılımcılara parasal ödüller sunmaktadır. Bu nedenle, ödül programının başlangıcından ödemeye kadar olan süreci, ciddiyet seviyesi ve ödül miktarı kararı ve hüküm ve koşullar tamamen Samsung tarafından belirlenecek ve yönetilecektir. Ödül programı için politika, yönergeler, yeterlilik gereksinimleri ve uygunluk gereksinimleri önceden bildirimde bulunulmaksızın değiştirilebilir. Ayrıca ödül programını herhangi bir zamanda durdurabiliriz.
5. Ödül programına katılım ve Samsung Mobile'a bildirimde bulunulması herhangi bir yasa dışı faaliyeti içermeyecektir:
Samsung Mobil hizmetleri kesintiye uğramamalı, raporlama Samsung'un dahili veya harici sunucularına saldırıda bulunulmamalı veya verilere veya fiziksel varlıklara zarar verilmemelidir.
Ödül programına katılım veya Samsung Mobile'a bildirimde bulunma, yürürlükteki hiçbir yasayı ve yönetmeliği ihlal etmemeli veya herhangi bir üçüncü taraf hakkını (fikri mülkiyet hakları dahil) ihlal etmemelidir.
6. Katılımcıların yorumları ve gerekçeleri dikkatlice değerlendirilecek olup, Samsung kendi takdirine bağlı olarak aşağıdaki hususlarda karar verecektir:
Raporun ödül programına uygun olup olmadığı
Her Rapor'a hangi düzeyde güvenlik riski ("ciddiyet") atanacak?
Son ödül miktarı
7. Ödül almaya hak kazanmak için, katılımcılardan mobile.security@samsung.com adresinden Samsung ile iletişim kurulmadan önce güvenlik açığını kamuya açıklamamaları veya yayınlamamaları rica olunur.
8. Bildirilen güvenlik açığı veya ilgili istismarlar hiçbir yasa dışı faaliyet için kullanılmayacaktır.
9. Güney Kore hükümeti tarafından yaptırım uygulanan ülkelerde yaşayanlar ödül programından yararlanamazlar.
10. Yerel yasalara bağlı olarak, ödül programına katılma uygunluğunuz konusunda ek kısıtlamalar olabilir.
11. Raporların ortaklarımızla paylaşılabileceğini kabul ve beyan edersiniz.
Ödül miktarı ve süreci
1. Ödül miktarı, nitelikli Raporlar için 200 ABD Doları ile 200.000 ABD Doları arasında değişecektir. Genellikle, daha yüksek ciddiyet sorunları için daha fazla ödül miktarı teklif edilecektir. Ancak, ödül miktarını tahmin etmek için rapor kalitesi, etkilenen kapsam, saldırıların zorluğu vb. gibi ciddiyet seviyesi dahil olmak üzere çeşitli faktörleri göz önünde bulunduruyoruz. Bu nedenle, iyi nitelikli daha düşük ciddiyet sorunu, daha yüksek ciddiyet sorununa göre daha fazla ödül alabilir. Öte yandan, Güvenlik Etkisi Olmayan Raporlara hiçbir ödül verilmeyeceğini lütfen anlayın. Ayrıca, yalnızca bir yazılım hatasını veya Samsung tarafından uygulanan güvenlik konseptiyle tutarlı bir yazılımın davranışını tanımlayan Raporlar, Güvenlik Etkisi Olmayan Amaçlandığı Gibi Çalışıyor olarak kabul edilecektir.
2. Raporda geçerli bir Kavram Kanıtı yer almıyorsa, ödüllerin niteliği, güvenlik açığının yeniden üretilebilirliğine ve ciddiyetine göre belirlenecek ve ödül miktarı önemli ölçüde azaltılabilecektir.
3. Daha yüksek ödül miktarları, daha büyük güvenlik riski ve etkisi olan güvenlik açıkları için teklif edilecek ve TEE veya Bootloader tehlikeye yol açan güvenlik açıkları için daha da yüksek ödül miktarları teklif edilecektir. Öte yandan, güvenlik açığı ayrıcalıklı bir işlem olarak çalıştırılmasını gerektiriyorsa ödül miktarı önemli ölçüde azaltılabilir.
4. İkamet ettiğiniz ülkeye ve vatandaşlığınıza bağlı olarak ortaya çıkabilecek vergisel sonuçlardan siz sorumlusunuz. Uygulanabilir yargı alanının yasalarına göre para ödülünden stopaj vergisi kesilebilir ve vergi oranı uygulanabilir ülkelere göre farklılık gösterebilir.
5. Uygun bulunan Raporlar için ödüller, ödeme işleme yoluyla Samsung'un belirlenmiş iş ortağı Bugcrowd aracılığıyla ödenecek ve katılımcılarla süreç boyunca Bugcrowd tarafından iletişime geçilecektir.
6. Raporun veya katılımcının güvenlik açığını ele alış biçiminin yeterlilik gereksinimlerini veya diğer gerekli koşulları karşılamaması durumunda bu ödül programı süreci sonlandırılacaktır.
7. Ödül programı süreci başlatıldıktan sonra, gerekli belgelerin eksiksiz bir şekilde hazırlanması ve tüm gerekli bilgilerin zamanında iletilmesi koşuluyla, ödülün ödenmesi 2 ay veya daha fazla sürebilir.