三星電子宣布強化其行動資安獎勵計畫,外部資安社群若能提交符合條件的資安漏洞回報,最高將可獲得100萬美元的獎勵。此舉體現了三星在促進行動資安透明度與強化合作方面所做的努力。計畫標準詳列於「三星行動資安風險分類」中,並已納入新增的分類項目。
此外,三星也發表了首份資安主題的年度獎勵計畫報告,展示計畫啟動後最具指標性的焦點成果,強調計畫參與者的關鍵作用。三星目前為用戶提供長達七年的安全性更新(註一),行動資安獎勵計畫使整體措施更臻完善,彰顯公司對用戶裝置安全的堅定承諾。
三星電子副總裁暨行動通訊事業部安全團隊負責人Justin Choi表示:「隨著網路安全攻擊日益智慧化,如何識別也更具挑戰性。我們積極鼓勵資安社群參與,協助識別並應對這些威脅。在資安社群的協助之下,我們得以把關旗下產品,並持續掌握潛在的漏洞,進而增強用戶的資安防護。為用戶提供資訊安全保護措施並確保其資訊確實受到防護至關重要,這也是我們在所有產品與服務中優先考量資安的原因。」
此計畫自2017年啟動,充分體現三星對開放性及業界共同合作以強化行動資安的承諾。透過與全球的網路安全研究員、白帽駭客及獨立資安專業人士等專家合作,此計畫採取兼具策略與系統性的積極措施,識別資安漏洞並加以解決,進而提升用戶行動體驗的安全性。
「重要情境漏洞計畫」新推出高達100萬美元的獎勵。這份計畫聚焦在最嚴重的攻擊情境與漏洞,包括針對高權限目標的任意程式碼執行、裝置解鎖與用戶資料的完整擷取、任意應用程式安裝,以及規避裝置保護解決方案。透過與資安社群的合作,三星不僅能全力打造一個持續應對新興風險的透明合作架構,還能加速偵測並解決潛在的關鍵威脅。
提升獎勵計畫標準透明度
「三星行動資安風險分類」現提供一個更詳盡且供大眾使用的漏洞分類系統,新增多項考量因素,包括威脅嚴重程度的降級因素,以及不符合條件的類別,有助於識別構成最小安全風險的威脅。系統根據安全風險和影響將威脅的嚴重程度分為五個級別:重大、高、中、低,以及不符條件或未達低風險的安全影響。全面性的方針為參與者及廣泛的資安社群提供了明確指引,並對漏洞回報建立了一個結構更清晰的框架。此外,計畫亦明確列出影響獎勵資格及金額的條件。
這項計畫適用於三星目前所有按月、按季或每半年進行安全性更新的行動裝置。此外,若針對最新的三星Galaxy服務(如Bixby、三星帳號和Samsung Wallet等)回報符合條件的潛在漏洞,也可獲得相應獎勵。
三星發表首份計畫報告
2024年八月,三星發布首份資安主題的年度獎勵計畫報告,簡要說明計畫自2017年啟動後的重要成果。報告指出,單就2023年間,計畫已向113名研究員發放超過80萬美元的獎勵,截至目前三星提供全球資安專家的獎勵金已超過400萬美元,充分展現參與者在本計畫中所起的關鍵作用。
「行動資安獎勵計畫」自即日起生效。欲知更多詳情,包括條款與條件,請參閱三星行動資安網頁。
註一:三星Galaxy裝置的安全性維護發布時間與可用性可能依市場、網路供應商和/或機型而有所不同。
