近日,小米安全中心宣布推出2023年小米手机守护计划,该计划的奖金池总额为100万元人民币,活动时间为9月5日至10月6日。本次测试机型为小米13系列,守护计划需要用户自行购买设备进行测试。如果用户提交的漏洞符合守护计划收录要求,其购买设备的费用将予以报销,否则不予报销。 在漏洞利用方面,用户需要使用官方最新稳定版ROM和浏览器版本,并保持默认的系统设置或正常使用手机的设置,不能申请和使用Accessibility权限。此外,外界未曝光的细节与POC漏洞(Chrome buglist内公开漏洞不在奖励计划内)。所有漏洞(包括root权限提升)在所有场景中只会判定有效一次,其他场景或利用链中再次被使用,将被视为漏洞重复。 在漏洞验证方式上,用户需要提交完整的漏洞利用报告,包括漏洞分析的详细报告、必要的调用链描述和截图,以及验证漏洞的POC或EXP的源码。如果存在多交互场景或具备一定演示效果,用户还需要上传录制视频。小米安全团队会在“漏洞利用要求”中提及的环境中复现漏洞,漏洞复现成功,会确认漏洞与攻击场景成立。漏洞复现失败,会对漏洞利用链中有效的漏洞进行单独折算奖励。 在漏洞有效性方面,漏洞有效性以最先提交为准,后续提交的重复漏洞不纳入“小米13守护计划”奖励范围。对于POC链中存在多个漏洞的场景中,如果出现部分漏洞重复的情况,会对POC链中非重复漏洞内容进行场景折算(如完整复现POC链中有3个漏洞,其中一项未重复,则奖励为完整奖励的1/3)。 奖励标准方面,本次守护计划的奖金池总额为100万元人民币,公式为:基础奖励x交互系数+挑战项奖金(完成挑战项)。