活动简介:
小米一直以来极度重视保障产品的安全与用户的隐私,满足用户对智能产品的安全要求是我们的首要责任,为此小米安全于2018年发布了第一期小米智能生活安全守护计划,可为安全研究员免费提供测试设备,单期最高百万奖池,还有年度颁奖盛宴。
我们期望通过多方协同联动,最大程度发现小米智能产品未知的安全风险,共建IoT安全生态。我们举办过小米9百万赏金挑战赛、也举办过针对音响、门锁的守护计划,今天小米安全将给大家带来【第八期-小米智能摄像机标准版守护计划】,诚邀各位IoT安全研究专家加入!
目标产品:小米智能摄像机标准版
该产品提供1080p全高清视频画面、具有170°超广角、IP65防尘防水、20fps*帧率、940nm无打扰红外补光灯、无扰增强夜视、磁吸底座,想看哪里放哪里、支持AI人形追踪、过滤无效警报、支持双向通话,可接入米家与智能设备联动。
本期守护计划详情
测试时间:2020.4.24-2020.5.24
测试固件版本:4.0.5_0094
漏洞提交地址:https://sec.xiaomi.com/submit/project/8
设备申请:如需申请设备,可发送邮件到[email protected]申请,需提供部分能力证明,能力证明不限于常用id/博客地址、研究领域、发表相关技术文章的地址、历史漏洞证明、其他证明(参赛等)
本期终极目标:通过漏洞可远程给产品植入后门或获得最高权限
重点注意:守护计划仅接受设备本身安全漏洞,云端程序漏洞请提交MiSRC
评分标准
小米重视产品在任何使用场景中面临的安全风险,此次守护计划将按照利用条件与影响等因素进行威胁评估,多个维度确定漏洞最终得分,具体分 5 个维度(总分100):
奖励细节
1、本期小米智能生活安全守护计划奖金池总额 50 万元***
2、根据漏洞的最终得分进行奖励,奖金=得分/100*奖励系数,最高单个漏洞20万
3、若有安全研究员成功解锁终极目标,除了获得满分奖励20W之外,还可获取奖池内剩余奖金,不同的终极报告均分剩余奖金
4、提前公布细节、虚假漏洞、已知重复漏洞等行为不予奖励
5、如最终结果超过奖池 50 万上限,则对奖励进行等比稀释
已知漏洞
小米安全团队日常会发现小米智能设备在设计、硬件、通信、云端等漏洞与风险,但内部报告属于已知问题不进行漏洞奖励。测试开始时,内部已知漏洞可能因补丁内测等因素尚未推送,导致测试者提交漏洞重复,所以我们会通过以下方案尽量避免纠纷:
1. 根据实际情况尽量提供修复了已知漏洞的设备给白帽测试
2. 我们会在第三方网站(GitHub)提前声明本次测试目标中已知安全漏洞内容的 Hash,在出现已知问题提交时我们为发现者提供内部报告原件已示公正
* 本期已知漏洞声明地址:https://github.com/MiSecurity/PublicTest/blob/master/Xiaomi Smart Camera Standard Edition.md
注意事项
1、违反测试条款泄露漏洞细节危害用户安全的,小米有权拒绝对其奖金发放
2、测试过程与项目结束后,请对漏洞报告中所有细节严格保密,不得进行细节披露、公共PR等行为,违反者小米有权拒绝对其奖金发放并追究法律责任
3、测试过程中不得影响正常用户使用,禁止使用 DDOS 等暴力测试攻击服务器,任何以测试为理由造成用户或者小米公司损失的,小米公司有权追究法律责任
4、任何因测试规则与测试过程中产生的争议情况可联系 [email protected] 协商解决
5、小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权
MiSRC安全交流群:915421235
来源:freebuf.com 2020-04-28 14:00:25 by: 小米安全中心
请登录后发表评论
注册