Meta aggiunge Quest 2, Portal e Ray-Ban Stories al suo programma di bug bounty

La società madre di Facebook Meta sta aggiornando il suo programma di bug bounty per aggiungere prodotti hardware dalla sua divisione del metaverse Reality Labs, inclusi i suoi occhiali intelligenti Quest 2, Portal e Ray-Ban Stories, ha annunciato la società venerdì. Il lavoro svolgerà un ruolo importante nel suo “viaggio per aiutare a costruire il metaverso”, secondo un comunicato stampa.

Il comunicato stampa ha sottolineato che le segnalazioni di bug verificate di Ray-Ban Stories sono idonee per i premi, che si spera incentivino più ricercatori ad “analizzare gli occhiali e gli altri nostri dispositivi hardware”. Il premio minimo per la scoperta di un bug è di $ 500 e gli importi aumentano a seconda del dispositivo e del potenziale impatto del bug scoperto. Il pagamento più grande elencato è di $ 30.000, ma potrebbe aumentare anche a discrezione dell’azienda, per bug che potrebbero potenzialmente comportare rischi per la salute, la sicurezza o la privacy.

Meta ha offerto un elenco di ipotetici bug e come potrebbero essere i pagamenti:

Un problema che consentirebbe a un’applicazione dannosa di terze parti di iniettare contenuto che viene poi consumato da un’applicazione proprietaria, come le immagini di una presentazione o l’audio di una chiamata, riceverebbe un pagamento di ~ $ 1.000 sotto i “Problemi causati da potenziali app di terze parti dannose”

Un’app di terze parti che ottiene l’accesso al microfono senza richiederlo su un dispositivo Quest riceverà un pagamento di $ 5.000 in “Accesso al microfono non autorizzato da parte di un’app di terze parti”.

Un’applicazione di terze parti su Quest in grado di arrestare in modo anomalo o disabilitare Guardian riceverebbe un pagamento di $ 3.000 sotto “DoS”

L’esecuzione del codice remoto tramite un buffer overflow nella libreria della chat vocale di Quest, ottenendo l’esecuzione in un’applicazione proprietaria privilegiata, riceverebbe un pagamento di $ 16.000.

La società ha istituito per la prima volta il suo programma di ricompensa dei bug nel 2011 e afferma che è stato determinante nell’aiutarla a trovare e correggere i bug, con quasi $ 2 milioni di premi pagati ai ricercatori di sicurezza solo lo scorso anno, secondo un post sul blog dal responsabile tecnico della sicurezza dell’azienda Dan Gurfinkel.

L’elenco completo dei pagamenti e delle linee guida può essere trovato qui.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.