Умные устройства с Алисой

Вам нужно найти уязвимости в наших умных устройствах и механизмах подписок.
Территория охоты: устройства, которые управляются с помощью голосового интерфейса — Яндекс Станции и Яндекс Модуль.
Первый приоритет
Устройства, выпущенные недавно, у которых мы хотим проверить современные механизмы безопасности:
Второй приоритет
Устройства прошлых поколений, которые мы обновляем и поддерживаем:
Не подходят для Охоты
В программу поиска уязвимостей не входят устройства Умного дома, телевизоры и прочие, которые разработаны совместно с другими брендами.
Инфраструктура вокруг умных устройств входит в рамки основной программы Охоты за ошибками.
Фокус данной направления направлен на поиск уязвимостей в умных устройствах Яндекса. Мы выделяем несколько основных категорий:
Уязвимости приложений и сервисов на устройстве
Выполнение кода, чтение локальных файлов, различные типы инъекций, которые ведут к получению повышенных привилегий на устройстве.
Уязвимости могут быть в приложениях на устройстве, голосовых навыках, привилегированном/не привилегированном процессе и так далее.
Уязвимости в программном обеспечении производителя SoC и Firmware
На низком уровне устройства нас интересуют атаки, позволяющие обходить механизмы безопасной загрузки и исполнять произвольный код. Такие проблемы мы передаем нашим партнерам, но не занимаемся выпуском CVE.
Если вы хотите искать низкоуровневые проблемы, вам следует ознакомиться со спецификацией ARM Trusted Firmware. Большинство наших устройств основывается на ней.
Обход подписной модели
Часть наших устройств продаются по подписной модели, предполагающей регулярные выплаты за использование устройства. При отсутствии выплат на устройства накладываются ограничения.
Например, больше нельзя будет смотреть фильмы на Кинопоиске или общаться голосом с Алисой. Нас интересуют любые способы обхода этих ограничений.
Получение повышенных привилегий через интерфейсы на PCB
В рамках программы мы не рассматриваем сложные, дорогие и трудновоспроизводимые атаки на плату, например, Fault Injection. Однако нас интересуют атаки, которые позволяют через подключение к JTAG, USB и другим физическим интерфейсам устройства и получить высокопривелигированный доступ.
Раскрытие критичной информации о пользователе
Нам интересны проблемы, которые могут приводить к раскрытию критичной информации о пользователе, например, которая может его идентифицировать. Раскрытие должно производиться без физического контакта с устройством.
Яндекс не выплачивает вознаграждение за:
  • любые атаки на железо, которые требуют изменения конфигурации платы, удаление чипов с печатной платы, ее перепрограммирования или использования дорогостоящих специфичных устройств и атак. Нам интересны атаки, которые позволяют через подключение к JTAG, USB и другим физическим интерфейсам устройства получить высокопривелигированный доступ;
  • атаки по сторонним каналам без высокой вероятности воспроизведения;
  • "лучшие практики" по безопасности умных устройств без доказанного влияния на безопасность;
  • использование незашифрованной файловой системы или отсутствие шифрование конкретных файлов;
  • отсутствие обфускации и бинарной защиты (анти-отладка);
  • раскрытие Access keys, которые имеют ограничения или зашитые в .apk/другие файлы и не дают доступа к персональным данным;
  • уязвимости в сторонних приложениях без доказанного влияния на безопасность устройства или приложений Яндекса;
  • факт хранение пользовательских данных или аутентификационных токенов на файловой системе;
  • уязвимости в приложениях на устройстве, которые не оказывают значительного влияния на безопасность;
  • локальные DoS-атаки. В рамки программы входит удаленный DOS, DOS в ближнем поле устройства и DOS-атаки, который нельзя устранить с помощью перезагрузки;
  • раскрытие некритичной информации о пользователе, устройстве или внутренней информации компании;
  • в голосовых навыках, разработанных не Яндексом;
  • обход родительского контроля с помощью изменения голоса;
  • уязвимости в устройствах не на поддержке.
{ Вознаграждения }
Размер вознаграждения зависит от уровня получаемых привилегий, типа устройства, критичности проблемы и ее влияния на безопасность. Он может быть назначен в промежутке из таблицы ниже.
Для уязвимостей в устройствах второго приоритета используется понижающий коэффициент к выплатам. Если ваша проблема воспроизводится и несет риски безопасности для устройств из первого приоритета, вы получите полную выплату.

Решение об уровне критичности часто принимается совместно с разработчиками, и может занимать какое-то время.

Уровень критичности проблемы
Критичный
Высокий
Средний
Низкий
Вознаграждение
до 1 000  000 руб.
до 500 000 руб.
до 250 000 руб.
до 50 000 руб.
Fri Oct 11 2024 19:20:17 GMT+0300 (Moscow Standard Time)