Samsung Mobil Bug Bounty Programı
Samsung Mobil Bug Bounty Programı
Samsung Mobile ürünlerinin güvenliğinin artırılmasına yardımcı olma konusundaki ilginizi ve niyetinizi takdir ediyoruz.
Güvenlik ve gizlilik konularını çok ciddiye alıyoruz; Samsung Mobile'ın ürünlerimizin güvenliğini artırmasına ve son tüketicilerimizin maruz kaldığı riski en aza indirmesine yardımcı olduğumuz için, uygun güvenlik açığı raporları için bir ödül programı sunuyoruz.
Samsung Mobil Güvenlik Ödül Programına uygunluk ve yönergeler hakkında daha fazla bilgi için lütfen aşağıyı kontrol edin.
Samsung Mobil Güvenlik Ödül Programımıza ilginizin ve katılımınızın devamını bekliyoruz. Bu ödül programı aracılığıyla, Samsung Mobile ile güvenlik sorunlarının ifşa edilmesini koordine eden araştırmacılarla değerli ilişkiler kurmayı ve sürdürmeyi umuyoruz.
Sorunsuz ve zamanında çalışmayı sağlamak için lütfen ödül programına güvenlik raporları göndermeden önce aşağıdaki gereklilikleri ve yönergeleri dikkatlice okuyup tam olarak anladığınızdan emin olun.
Güvenlik raporlarını göndermek için lütfen Güvenlik Raporlaması sayfasına bakın.
Ödül kalifikasyonu koşulları:
1. Güvenlik açığı raporu ("Rapor") uygun Samsung Mobile cihazları (aşağıda listelenen akıllı telefonlar, tabletler ve giyilebilir cihazlar dahil), hizmetler, Samsung Mobile tarafından geliştirilen ve imzalanan uygulamalar veya Samsung Mobile için geliştirilen uygun 3. taraf uygulamaları için geçerli olmalıdır.
Uygun Samsung Mobil Cihazlar, mevcut en son Android sürümleri ve donanım yazılımlarıyla: Galaxy Fold, Galaxy Fold 5G, Galaxy Z Fold2, Galaxy Z Fold2 5G, Galaxy Z Fold3 5G, Galaxy Z Fold4, Galaxy Z Fold5, Galaxy Z Flip, Galaxy Z Flip 5G , Galaxy Z Flip3 5G, Galaxy Z Flip4, Galaxy Z Flip5, W20 5G, W21 5G, W22 5G, W23, W23 flip
Galaxy S serisi (S10 Lite, S20, S20 5G, S20+, S20+ 5G, S20 Ultra, S20 Ultra 5G, S20 FE, S20 FE 5G, S21 5G, S21+ 5G, S21 Ultra 5G, S21 FE 5G, S22, S22+, S22 Ultra, S23, S23+, S23 Ultra)
Galaxy Note serisi (Note10 Lite, Note20, Note20 5G, Note20 Ultra, Note20 Ultra 5G)
Galaxy A serisi (A20'ler, A30'lar, A50'ler, A70'ler, A90 5G, A01, A11, A21, A21'ler, A31, A41, A51, A51 5G, A71, A71 5G, A02, A02s, A12, A22, A22 5G, A22e 5G , A32, A32 5G, A42 5G, A52, A52 5G, A52s 5G, A72, A82 5G, A03, A03 çekirdek, A03s, A13, A13 5G, A23, A23 5G, A33 5G, A53 5G, A73 5G, A04, A04s, A04e, A14, A14 5G, A24, A34 5G, A54 5G)
Galaxy M serisi (M10s, M30s, M01, M11, M21, M21 2021, M31, M31s, M51, M12, M22, M32, M32 5G, M42 5G, M52 5G, M62, M13, M13 5G, M23 5G, M33 5G , M53 5G, M04, M14 5G, M34 5G, M54 5G)
Galaxy F serisi (F12, F22, F42 5G, F52 5G, F62, F13, F04, F14 5G, F34 5G, F54 5G)
Galaxy Tab serisi (Tab Active Pro, Tab Active3, Tab Active4 Pro, Tab A 8.4 (2020), Tab A7, Tab A7 Lite, Tab A8, Tab S6, Tab S6 5G, Tab S6 Lite, Tab S7, Tab S7+, Tab S7 Lite, Tab S8, Tab S8+, Tab S8 Ultra, Tab S9 Ultra, Tab S9 Plus, Tab S9)
Galaxy XCover serisi (Xcover Pro, Xcover5, Xcover6 Pro)
Galaxy Watch4, Galaxy Watch4 Classic, Galaxy Watch5, Galaxy Watch5 Pro, Galaxy Watch6, Galaxy Watch6 Classic
Geçerli Samsung Mobile hizmetleri şu anda etkin olmalıdır. Samsung'un diğer bölümleri tarafından sunulan hizmetlerdeki güvenlik açıkları ödüle uygun olmayabilir.
Samsung Mobile tarafından geliştirilen ve imzalanan uygulamaların en son güncellemeyle güncel olması gerekir.
3. parti yazılımlardaki güvenlik açıkları genel olarak ödüle uygun değildir.
2. Belirli bir güvenlik açığına ilişkin mükerrer Raporların alınması durumunda yalnızca ilk Rapor ödül almaya hak kazanır. Bazı durumlarda, güvenlik açığına yönelik yamanın yayınlanması zaten planlanmışsa Raporlar yinelenen olarak değerlendirilebilir.
3. Aşağıdaki kategorilerle ilgili raporlar uygun değildir:
Güvenlik etkisi olmayan yazılım hataları
Yazılımın Samsung tarafından uygulanan güvenlik konseptiyle tutarlı bir davranışı
Bilgisayar korsanlığı araçlarıyla cihaza fiziksel bağlantı gibi bir güvenlik açığından yararlanmak için aşırı ön koşullar gerektirme
(Kilidi açılmış veya Geliştirici modu olarak yapılandırılmış cihazı varsayan güvenlik açıklarının düzeyi düşürülebilir veya Güvenlik Etkisi Yok olarak değerlendirilebilir.)
Uygulama düzeyinde bir çökmeyle sonuçlayın veya açıktan yararlanmadan MITM veya SQL enjeksiyonu olasılığından bahsedin
(Pratik bir güvenlik etkisi olmayan SQL enjeksiyonu, Güvenlik Etkisi Yok olarak değerlendirilebilir ve bu nedenle muhtemelen uygun olmayabilir.)
Aşırı kullanıcı etkileşimi gerektiren veya kimlik avı veya tıklama hırsızlığı gibi kullanıcıları kandıran senaryolar
İstismarın karmaşık bir senaryoya dayalı olması veya istismar edilme ihtimalinin çok düşük olması
Yalnızca Samsung cihazlarını değil diğer Android cihazlarını da etkileyen 3. taraf kodunun güvenlik açığı
Diğer hata ödül programları (Android Rewards, Qualcomm Bug Bounty, vb.) kapsamındaki güvenlik açıkları (Samsung'u ve diğer Android cihazlarını etkileyen) geçerli değildir.
Samsung ve bağlı kuruluşları, ortakları veya Samsung tarafından istihdam edilen kişilerin aileleri tarafından istihdam edilen kişilerden gelen raporlar
Samsung Gizli bilgilerine yasa dışı erişim yoluyla alınan veya elde edilen bilgilere dayanan raporlar
Zaten kamuya açık olan bilgilere dayanan raporlar
Güvenli kilit (PIN, Desen, Parola veya Biyometrik) kimlik doğrulamasının zorunlu kılınması durumunda azaltılabilecek senaryolar
Katılımcının, ödülleri almadan veya Samsung'dan diskalifiye bildirimini almadan önce Raporunda yer alan herhangi bir içeriği veya bilgiyi açıklaması durumunda.
Raporlar "bilet sistemi" aracılığıyla gönderilmez, ancak doğrudan e-posta (mobile.security@samsung.com) yoluyla gönderilir.
4. Samsung Mobil Güvenlik Ödül Programı ("ödül programı") Samsung Mobile tarafından işletilmektedir ve Samsung Mobile ürün ve hizmetlerinin güvenliğini artırmak amacıyla uygun katılımcılara parasal ödüller sunmaktadır. Böylece ödül programının başlangıcından ödemeye kadar olan süreci, ciddiyet düzeyi ve ödül tutarının kararı ile şartlar ve koşullar tamamen Samsung tarafından belirlenecek ve yönetilecektir. Ödül programına ilişkin politika, yönergeler, yeterlilik koşulları ve uygunluk koşulları, önceden bildirimde bulunulmaksızın değiştirilebilir. Ayrıca ödül programını istediğimiz zaman durdurabiliriz.
5. Ödül programına katılım ve Samsung Mobile'a raporlama herhangi bir yasa dışı faaliyeti içermeyecektir:
Samsung Mobile hizmetleri kesintiye uğramamalı ve raporlama, Samsung'un dahili veya harici sunucularına saldırmamalı veya verilere veya fiziksel varlıklara zarar vermemelidir.
Ödül programına katılım veya Samsung Mobile'a raporlama, yürürlükteki herhangi bir yasa ve düzenlemeyi ihlal etmemeli veya herhangi bir üçüncü taraf hakkını (fikri mülkiyet hakları dahil) ihlal etmemelidir.
6. Katılımcıların yorumları ve gerekçeleri dikkatle değerlendirilecek olsa da Samsung, tamamen kendi takdirine bağlı olarak aşağıdakilere karar verecektir:
Raporun ödül programına uygun olup olmadığı
Her Rapora hangi düzeyde güvenlik riski ("önem") atanacak?
Nihai ödül tutarı
7. Ödüllere uygunluk için katılımcılardan, mobile.security@samsung.com adresinden Samsung ile iletişime geçilinceye kadar güvenlik açığını kamuya açıklamamaları veya yayınlamamaları istenir.
8. Bildirilen güvenlik açığı veya ilgili istismarlar, yasa dışı faaliyetler için kullanılmayacaktır.
9. Güney Kore hükümeti tarafından onaylanan ülkelerde ikamet edenler ödül programına katılma hakkına sahip değildir.
10. Yerel yasalarınıza bağlı olarak, ödül programına katılma uygunluğunuzla ilgili ek kısıtlamalar olabilir.
11. Raporların ortaklarımızla paylaşılabileceğini onaylıyor ve kabul ediyorsunuz.
Ödül miktarı ve süreci
1. Nitelikli Raporlar için ödül miktarı 200 ABD Doları ile 200.000 ABD Doları arasında değişecektir. Genel olarak, daha yüksek önem derecesine sahip sorunlar, daha fazla ödül miktarı teklif edilecektir. Ancak ödül miktarını tahmin etmek için rapor kalitesi, etkilenen kapsam, saldırıların zorluğu vb. gibi şiddet düzeyi dahil olmak üzere çeşitli faktörleri göz önünde bulunduruyoruz. Dolayısıyla, daha düşük önem derecesine sahip bir sorun, daha yüksek önem derecesine sahip bir sorundan daha fazla ödül alabilir. Öte yandan, Güvenlik Etkisi Olmayan Raporlara herhangi bir ödül verilmeyeceğini lütfen unutmayın. Ayrıca, yalnızca bir yazılım hatasını veya Samsung tarafından uygulanan güvenlik konseptiyle tutarlı bir yazılım davranışını tanımlayan Raporlar, Güvenlik Etkisi Olmadan Amaçlandığı Gibi Çalışma olarak değerlendirilecektir.
2. Raporun geçerli bir Kavram Kanıtı içermemesi durumunda, ödüllerin niteliğine güvenlik açığının tekrarlanabilirliğine ve ciddiyetine göre karar verilecek ve ödül miktarı önemli ölçüde azaltılabilecektir.
3. Güvenlik riski ve etkisi daha yüksek olan güvenlik açıkları için daha yüksek ödül miktarı sunulacak, TEE veya Bootloader güvenliğinin ihlal edilmesine yol açan güvenlik açıkları için ise daha yüksek ödül tutarı sunulacaktır. Öte yandan güvenlik açığının ayrıcalıklı bir süreç olarak çalıştırılmasını gerektirmesi durumunda ödül miktarı önemli ölçüde azalabilir.
4. İkamet ettiğiniz ülkeye ve vatandaşlığa bağlı olarak her türlü vergiden siz sorumlusunuz. Geçerli yargı kanunlarına uygun olarak parasal ödülden stopaj vergisi düşülebilir ve vergi oranı geçerli ülkelere göre farklılık gösterebilir.
5. Nitelikli Raporlar için ödüller, ödeme işlemi yoluyla Samsung'un belirlenen ortağı Bugcrowd aracılığıyla ödenecek ve süreç sırasında Bugcrowd katılımcılarla iletişime geçecektir.
6. Raporun veya katılımcının güvenlik açığını ele alma biçiminin yeterlilik gerekliliklerini veya diğer gerekli koşulları karşılamaması durumunda bu ödül programı süreci sonlandırılacaktır.
7. Ödül programı süreci başladıktan sonra, gerekli belgelerin eksiksiz olarak hazırlanması ve gerekli tüm bilgilerin zamanında iletilmesi durumunda ödülün ödenmesi 2 ay veya daha fazla sürebilir.