« Samsung booste la prime de découverte de bugs à un million de dollars pour les failles du sous-système Knox Vault. »

Samsung a offert sa première prime d’un million de dollars à quiconque compromet avec succès Knox Vault – le sous-système isolé que le géant coréen intègre dans ses smartphones pour stocker des informations telles que des identifiants et exécuter des procédures d’authentification. Samsung n’a pas facilité la tâche pour devenir millionnaire en découvrant des bogues. Obtenir la récompense nécessite de démontrer l’utilisation d’une méthode sans clic – aucune interaction utilisateur requise – pour craquer un Galaxy S ou Z en tant qu’utilisateur non privilégié et obtenir les identifiants. Comme Knox Vault possède son propre processeur et système de stockage – tous deux isolés du processeur principal du téléphone et donc résistants aux attaques exploitant les ressources partagées – le défi pour les pirates informatiques est considérable. Atteindre le même résultat avec un accès local ne rapportera que jusqu’à 300 000 dollars dans le cadre des nouvelles conditions du Programme de Vulnérabilité de Scénario Important de Samsung. Une autre cible lucrative est TEEGRIS de Samsung – un environnement d’exécution de confiance présent dans certains appareils qui utilisent les propres SOC Exynos de la société coréenne. Démontrer une compromission réussie vous fera gagner 400 000 dollars s’il est fait à distance, tandis qu’un craquage local rapportera 200 000 dollars. Mais attention : simplement subvertir une application Trustlets dans le logiciel ne compte pas – vous devez vaincre directement le système d’exploitation.

Share the Post: