Стремясь повысить безопасность своих аппаратных продуктов, Meta сегодня объявила о новых правилах своей программы Bug Bounty, в которых указано, что в нее будут включены как гарнитура Quest Pro, так и контроллеры Touch Pro, а также сумма, которую компания будет платить за конкретные ошибки, обнаруженные системой безопасности.
Как и некоторые другие технологические компании, Meta запускает программу Bug Bounty, которая побуждает хакеров-исследователей безопасности проверять ее продукты на наличие уязвимостей в обмен на вознаграждение.
Meta уже некоторое время запускает эту программу для различных продуктов, но сегодня компания добавила новые рекомендации по выплатам для своих продуктов виртуальной реальности, включая контроллеры Quest Pro и Touch Pro, а также Quest 2, Quest 1 и многие другие последние аппаратные продукты компании без VR.
Согласно руководящим принципам, Meta предлагает до 45 000 долларов за крупные эксплойты на своих аппаратных продуктах (например, удаленное выполнение кода на гарнитуре) и от 500 до 3000 долларов за более мелкие эксплойты (например, скрытое использование приложения в настройках разрешений пользователя).
В руководстве подробно описывается, как Meta будет оценивать различные классы эксплойтов и как их серьезность будет определять выплату. Компания заявляет, что примет во внимание ряд факторов, в том числе результаты, которые могут «потенциально привести к риску для физического здоровья и безопасности, а также к рискам для конфиденциальности».
Одним из самых интересных дополнений включенных в программу устройств, безусловно, являются контроллеры Touch Pro. Что касается VR-гарнитур Meta от Meta, то это совершенно новый класс устройств — по сути, небольшой компьютер, способный отслеживать свое собственное положение благодаря трем бортовым камерам. Ни в одной из предыдущих VR-гарнитур компании не было таких сложных контроллеров, и будет интересно посмотреть, откроют ли они дверь для каких-либо новых уязвимостей безопасности.
В сообщении в блоге, посвященном последнему году программы компании Bug Bounty, Meta сообщает, что в этом году она выплатила исследователям в области безопасности около 2 миллионов долларов. Компания заявляет, что в 2022 году она получила около 10 000 отчетов, 750 (7,5%) из которых были признаны подходящими для выплаты. Таким образом, средняя выплата вознаграждения в 2022 году составляет около 2700 долларов за квалификационную ошибку.