查看引用/信息源请点击：映维网

升级漏洞悬赏计划，纳入旗下XR产品

（映维网2021年12月11日）Meta的漏洞悬赏计划在过去一年中已向第三方安全研究人员提供了超过200万美元的奖励。在针对XR硬件和元宇宙愿景进行了全面的重新定位之后，这家公司日前宣布升级所述计划，并纳入旗下的所有XR产品，例如Quest2、MetaPortal和RayBanStories等等。

Meta指出：“十多年来，我们的漏洞悬赏计划在帮助我们发现和修复产品漏洞方面发挥了重要作用。对于每个报告，我们都能获取新的经验教训，并将其反馈到我们的总体安全工作中。Meta的漏洞悬赏计划致力于鼓励第三方研究人员搜索我们代码和产品中的漏洞。”

另外，这家公司旗下的RealityLabs进一步通过博文介绍了旨在确保AR/VR用户安全的三项举措，包括升级的漏洞悬赏计划。

Meta已经将原来的漏洞悬赏计划升级，并纳入了旗下的所有XR产品，涵盖第一方硬件、软件和网站。如果研究人员在漏洞报告中证明相关发现可能导致身体健康、安全或隐私风险，公司将向其支付相应的赏金。

具体的奖励准则请访问这个页面，而相关的示例包括：

• 持续完全绕过安全启动：30,000美元
• 从TrustZone提取设备身份密钥：20,000美元
• 通过完全利用漏洞链root设备：10,000美元（漏洞链中的每个漏洞将单独获得奖金）
• 任何未授权的客户端数据访问：500–10,000美元（奖金金额取决于被访问的数据类型）
• 与本地数据存储有关的问题：500–5,000美元（奖金金额取决于数据类型）
• 第三方应用对Quest麦克风的未授权访问：5,000美元
• ……

另外，Meta将根据应用类型，以相应倍数的方式增加奖金金额，例如Root权限/系统服务漏洞的奖金将增加1倍。

值得一提的是，为了帮助针对混合现实和智能设备产品的安全性、隐私性、完整性和道德规范等方面的研究，Meta正在资助与AR/VR相关的安全性研究，鼓励学术界回应和探索与之相关的问题。

例如，这家公司在今年8月和9月都公布了多份获奖研究，并将为其提供最高可达7.5万美元的奖励。