一年之计在于春
三月的第一天
万物复苏
充满希望
OSRC也带着活动来啦
让我们一起加入本次活动
冲冲冲⑧
活动时间
2021年3月1日--2021年5月5日
测试范围
|
OPPO电视 R1 |
|
OPPO Watch 41mm |
|
OPPO enco X |
|
OPPO手环 时尚版 |
|
Blicca智能摄像头 |
|
蓝牙音箱(OBMC01) |
设备申请方式
申请时间:3月1日-3月5日
-
曾经提交过IoT漏洞的可以发送相关的资历证明至OSRC邮箱【[email protected]】,审核通过后可免费获得设备。邮件发送标题需为【IoT众测设备申请】,正文为资历证明并留下微信号方便后续沟通
-
没有提交过IoT相关漏洞的需自行购买设备。若提交了有效漏洞(不论等级)即可报销产品购买费用,否则不予报销
-
设备将统一在3月15日前发出
-
每人最多可免费申请2个设备
-
若提交了有效漏洞则该设备不予回收,提交了无危漏洞或者未提交漏洞,则回收设备
-
举个栗子:白帽大佬A申请了手环、手表以及电视,只提交了手环的有效漏洞,则手环不回收,手表以及电视回收
奖励规则
具体的IOT漏洞审核可点击OSRC 2周年第二弹——第五次奖励升级查看IoT安全漏洞评分标准v1.0
如涉及到Web及App安全漏洞,详见《互联网应用安全漏洞评分标准v2.0》
以下漏洞不在本次活动接收范围:
1.固件未加密、未验签、可降级
2.硬件存在硬件标识及调试接口打开但无法进一步利用
3.BLE连接通道占用
4.设备功能异常或配置文件泄漏(无安全隐私信息)
若对漏洞有异议,OSRC会拉起新的一轮审核,并由多位安全专家进行重新评定,内部达成一致后在留言板给出仲裁理由和结论。若外部安全研究者依旧对结果有异议,可其发送定级申诉邮件至[email protected]进行申诉
漏洞提交说明
通过OSRC官网(https://security.oppo.com/)提交漏洞,提交名称格式为(IoT众测-漏洞名称), 如提交漏洞格式不符合,此漏洞将不参与众测奖励。
不在众测范围内的漏洞请勿添加众测标题。
本次活动最终解释权归OPPO安全应急响应中心所有
本文始发于微信公众号(OPPO安全应急响应中心):安全众测第五期-IoT众测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论