«Яндекс» увеличивает награды за уязвимости в умных устройствах до миллиона рублей
Компания «Яндекс» сообщила о расширении bug bounty программы «Охота за ошибками» для умных устройств, в которую теперь входят новинки прошлого года — «Яндекс Станция Дуо Макс», «Станция Миди» и «ТВ Станции». Максимальная сумма вознаграждения за найденные уязвимости выросла с 600 000 до миллиона рублей.
Основной фокус делается на поиск ошибок в новых устройствах. Так, исследователи, которые сумеют обойти их защиту и обнаружить критичные уязвимости, получат вознаграждение в размере до миллиона рублей.
Также компания увеличила вознаграждение за найденные уязвимости в других устройствах, например, в «Станции Мини» с часами или «Станции Макс». Итоговый размер награды будет зависеть от уровня получаемых привилегий, типа устройства, критичности проблемы и ее влияния на безопасность.
Искать предлагается проблемы следующих видов:
уязвимости приложений и сервисов на устройстве;
уязвимости в ПО производителя SoC и Firmware;
возможности обхода подписки;
получение повышенных привилегий через интерфейсы на PCB;
раскрытие критичной информации о пользователе.
В компании отмечают, что в эту bug bounty программу не входят устройства умного дома, телевизоры и прочие гаджеты, разработанные совместно с другими брендами. В свою очередь, инфраструктура вокруг умных устройств включена в рамки основной программы «Охоты за ошибками».