Samsung geeft tot 1 miljoen dollar aan wie bugs vindt in Galaxy AI

In 2017 lanceerde Samsung een ‘Mobile Security Rewards Program’, waarmee het de software van zijn Android-telefoons wat veiliger wou maken. Ethische hackers die kwetsbaarheden vinden in de software van Samsung, kunnen zich bij het programma aanmelden voor een beloning. Voor het eerst maakt het Zuid-Koreaanse merk, met een jaarrapport over het programma, duidelijk wat voor bedragen daarmee gemoeid zijn.

Het gaat om flink wat geld: sinds de lancering van het bugbounty-programma betaalde Samsung al 5 miljoen dollar uit. In 2023 alleen al ging het om 827.925 dollar die aan 113 onderzoekers werd uitbetaald. De grootte van het bedrag hangt sterk af van welk type softwarefout er opgespoord wordt. Met de ergste lekken, zoals diegene waarmee vanop afstand code kan worden uitgevoerd, valt het meeste te verdienen. Zo haalde TASZK Security Labs een bedrag van 57.190 dollar binnen, met het rapporteren van één lek.

Nieuw AI-programma

Met het rapport maakt Samsung meteen bekend dat er nóg een bugbounty-programma op poten wordt gezet. Deze keer spitst dat zich niet toe op de mobiele besturingssystemen, maar op de AI-systemen van het bedrijf: het Mobile AI Security Rewards Program. Wie een foutje in Galaxy AI vindt dat uitgebuit kan worden, kan zich nu ook aanmelden om een geldbedrag te krijgen. Dat kan bijzonder lucratief zijn: Samsung trekt de beloningen namelijk flink op, en zal beloningen uitkeren tot 1 miljoen dollar.

Dat is dan wel enkel voor de meest kritieke kwetsbaarheden. Denk aan gevallen waarbij code uitgevoerd kan worden op afstand, gebruikersdata ontvreemd kan worden of waarbij apps geïnstalleerd kunnen worden zonder toestemming. Wie kan aantonen dat Galaxy AI zo’n kwetsbaarheid bevat, kan daar maar liefst 1 miljoen dollar voor opstrijken. Dat is wel echt de hoofdprijs: voor andere lekken biedt Samsung bedragen tussen de 50.000 en 400.000 dollar. Een volledige lijst valt te vinden in de blogpost van Samsung.