同步操作将从 OpenHarmony/security 强制同步,此操作会覆盖自 Fork 仓库以来所做的任何修改,且无法恢复!!!
确定后同步将在后台操作,完成时将刷新页面,请耐心等待。
发布时间:2023年9月23日
OpenHarmony社区非常重视社区软件版本的安全性,社区安全问题的来源包括安全问题例行扫描、内部安全研究以及外部上报安全问题。OpenHarmony社区发布安全漏洞奖励计划项目,鼓励安全漏洞研究人员和行业组织主动将OpenHarmony社区的疑似安全漏洞通过加密邮件方式(bugbounty@mail.openharmony.io, PGP公钥地址)报告给OpenHarmony社区安全响应工作组。OpenHarmony社区安全响应工作组会快速响应、分析、验证和解决上报的安全问题或安全漏洞。
支持社区最新OpenHarmony Release版本或LTS版本的OpenHarmony标准系统(standard system)、小型系统(small system)和轻量系统(mini system)硬件设备。
针对OpenHarmony单设备场景,根据漏洞的危害程度将其分为【严重】、【高】、【中】、【低】四个等级。
漏洞等级 | 漏洞样例 | 奖励金额范围(人民币) |
---|---|---|
严重 | 1.在TCB中远程执行任意代码; 2.通过本地可在特权进程或TCB中执行任意代码(能够绕过内核消减措施; 3.通过远程发起永久性拒绝服务攻击导致设备无法再使用,或者需要重新刷写整个系统才可恢复; 4.远程绕过应用安装及部分用户交互要求; 5.在未鉴权的情况下远程访问受保护的数据(达到特权进程访问任意数据的效果); 6.在分布式设备场景下,在设备授权前,实现跨设备远程代码执行。 |
最高1,000,000元 |
高 | 1.通过本地可在TCB中执行任意代码; 2.在普通应用进程中远程执行任意代码; 3.绕过将应用数据与其他应用隔离开来的安全机制; 4.绕过将用户或个人资料彼此隔离开来的安全机制; 5.在未鉴权的情况下远程访问受保护的数据(普通应用可以访问的数据; 6.通过本地发起的永久性拒绝服务攻击导致设备无法再使用,需要重新刷写整个操作系统,或者恢复出厂 设置才可使用; 7.远程发起暂时性拒绝服务攻击导致远程挂起或重新启动设备; 8.无需用户交互即可远程开启或关闭通常由用户才能发起的功能,或需要获得用户许可后方可使用的功能; 9.绕过屏幕锁; 10.本地绕过用户交互实现静默安装; 11.在分布式设备场景下,在控制弱设备的情况下,实现对富设备的远程代码执行。 |
最高500,000元 |
中 | 1.在受限进程中远程执行任意代码; 2.通过本地可在普通应用进程中执行任意代码; 3.绕过在特权进程、TCB中的缓解技术(如果存在某些漏洞缓解技术的问题可以直接导致执行任意代码或者关 键信息泄露,可以酌情提升漏洞危害等级); 4.在未鉴权的情况下本地访问受保护的数据(指本地安装的应用需要请求并获得权限后才可以访问的数据,或 仅限特权进程访问的数据); 5.无需用户交互即可本地开启或关闭通常由用户才能发起的功能,或需要获得用户许可后方可使用的功能; 6.不安全的加密算法及密钥存储,可导致敏感信息泄露等危害(根据影响程度,调整风险等级)。 |
最高200,000元 |
低 | 1.通过本地可在受限进程中执行任意代码; 2.通过本地发起暂时性拒绝服务攻击导致系统挂起或设备重新启动,影响系统可用性; 3.低风险的信息泄露。 |
最高10,000元 |
注:奖励金额取决于安全漏洞的严重程度和报告的质量,最终奖励由OpenHarmony社区安全响应工作组决定,具体取决于以下因素(包括但不限于):
漏洞报告详细程度,按照本计划“报告要求”上报,至少包括漏洞描述、利用方法描述、攻击代码。
初始攻击路径(远程(0-click, 1-click)或者本地)。
攻击代码是否设备、软件版本强相关,或者攻击代码可以在所有设备和软件版本上执行。
攻击过程对用户的感知度。
攻击代码的稳定性。
攻击代码是否适用最新LTS稳定版本中执行。
综合系统类型及其加固方案、缓解措施等因素,酌情考虑。
* 通过合成生物识别数据(包括不限于指纹,假冒面具等)导致的锁屏绕过不在奖励计划范围。
安全漏洞报告应该包含针对安全漏洞问题的详细描述和完整的PoC,若存在完整的Exploit或修复代码也可提供。
详尽的问题描述包括:
完整的PoC或Exploit要求:
修复和缓解代码(可选):
远程:指在不安装应用或不实际接触设备的情况下利用漏洞实施攻击,包括通过网页浏览、阅读短信彩信、收发邮件、文件下载、无线网络通信等方式。
本地:指利用漏洞实施攻击需要在受害系统中安装应用,或者需要物理接触设备。
TCB:TCB是Trusted Computing Base的简称,指的是计算机内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务,包括但不限于部分内核及驱动程序,或者等同于内核的用户服务,例如init、vold等。
特权进程:在SELinux的system_app域中运行的应用或进程;以system级别的权限运行的进程或root进程。
普通应用进程:第三方应用进程或内置的无system级别权限的应用进程。
受限进程:比普通应用进程受到更严格的权限约束。
未经授权访问、下载、修改或删除不属于自己的数据,仅允许通过POC证明问题存在;
禁止发起网络钓鱼或者社会工程学攻击;
不得为任何非法目的而使用安全漏洞及安全漏洞相关信息,不得从事以下活动:
未经允许进入计算机信息网络或者使用计算机信息网络资源;
未经允许,对计算机信息网络功能进行删除、修改或者增加;
未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
故意制作、传播计算机病毒等破坏性程序;
未经允许,进入计算机信息网络中获取相关网站系统以及平台中储存的数据;
其他危害计算机信息网络安全的行为;
如因上述行为给OpenHarmony社区造成任何损失的,您应承担全部赔偿责任。因您上述行为违反法律法规相关规定的,您应独自承担相应的法律后果。
OpenHarmony社区安全问题响应组成员及相关项目维护者(maintainer)和审核者(committer)不得参与该安全漏洞奖励计划。
在安全漏洞未修复前,我们希望您不要公开和传播。我们承诺:对每一份报告,都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果,并且我们会按照“安全漏洞奖励方案”对您的付出表示感谢。
我们鼓励采用合法合规的方式测试安全漏洞。对于利用安全漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播安全漏洞或数据等涉嫌违反法律、行政法规规定或违反OpenHarmony社区管理规定、网站协议等的违法违规行为,OpenHarmony社区均将保留追究法律责任的权利。
本计划自发布之日起正式生效。OpenHarmony社区安全问题响应组可能会对计划内容进行不定期修改,我们将通过在OpenHarmony官方网站重新发布更新版本的方式向您通知修改内容。除非另有说明,更新版本自发布之日起正式生效。
如您对以上相关内容有任何意见或建议,请您联系bugbounty@mail.openharmony.io
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。