小米安全中心近日宣布推出 2023 小米手機(jī)守護(hù)計劃，本次守護(hù)計劃獎金池總額 100 萬元人民幣，活動時間為 9 月 5 日-10 月 6 日。

本次測試機(jī)型為小米 13 系列，守護(hù)計劃需自行購買設(shè)備進(jìn)行測試。若提交了符合守護(hù)計劃收錄要求的有效漏洞即可報銷產(chǎn)品購買費(fèi)用，否則不予報銷（提供發(fā)票）。

附漏洞利用要求：

官方最新穩(wěn)定版 ROM

瀏覽器版本通過小米應(yīng)用商店更新到最新版本

保持默認(rèn)的系統(tǒng)設(shè)置，或是正常使用手機(jī)的設(shè)置，無任何特殊改動

不能申請和使用 Accessibility 權(quán)限

外界未曝光細(xì)節(jié)與 POC 的 0day 漏洞（Chrome buglist 內(nèi)公開漏洞不在獎勵計劃內(nèi)）

所有漏洞 （包括 root 權(quán)限提升） 在所有場景中只會判定有效一次，在其他場景或利用鏈中再次被使用，將被視為漏洞重復(fù)。

漏洞驗(yàn)證方式

白帽子需提交完整的漏洞利用報告，包括：

漏洞分析的詳細(xì)報告，包括必要的調(diào)用鏈描述 + 截圖

驗(yàn)證漏洞的 poc，或 exp 的源碼

存在多交互場景或者具備一定演示效果的，上傳錄制視頻

小米安全團(tuán)隊(duì)會在“漏洞利用要求”中提及的環(huán)境中復(fù)現(xiàn)漏洞

漏洞復(fù)現(xiàn)成功，會確認(rèn)漏洞與攻擊場景成立

漏洞復(fù)現(xiàn)失敗，會對漏洞利用鏈中有效的漏洞進(jìn)行單獨(dú)折算獎勵

漏洞有效性

漏洞有效性以最先提交為準(zhǔn)，后續(xù)提交的重復(fù)漏洞不納入「Xiaomi 13 守護(hù)計劃」獎勵范圍

對于 PoC 鏈中存在多個漏洞的場景中，如果出現(xiàn)部分漏洞重復(fù)的情況，會對 PoC 鏈中非重復(fù)漏洞內(nèi)容進(jìn)行場景折算（如完整復(fù)現(xiàn) POC 鏈中有 3 個漏洞，其中一項(xiàng)未重復(fù)，則獎勵為完整獎勵的 1/3)

獎勵標(biāo)準(zhǔn)

本次守護(hù)計劃獎金池總額 100 萬元人民幣，公式：基礎(chǔ)獎勵 x 交互系數(shù) + 挑戰(zhàn)項(xiàng)獎金（完成挑戰(zhàn)項(xiàng)）。

漏洞收錄范圍 & 獎勵：

交互系數(shù)：

挑戰(zhàn)項(xiàng)：

通過未公開 0day 漏洞在任意場景可以獲取小米 * 完整 root 權(quán)限（官方 root 工具除外），直接獎勵 100,000 元獎金。

通過未公開 0day 漏洞在任意場景下開機(jī)直接解鎖手機(jī) ，直接獎勵 100,000 元獎金。

備注：

針對包括但不限于需要誘導(dǎo)用戶點(diǎn)擊鏈接、釣魚郵件、多次交互等行為才能觸發(fā)的安全漏洞。分為無交互、弱交互和強(qiáng)交互三種類型。

遠(yuǎn)程：指在不安裝應(yīng)用或不實(shí)際接觸設(shè)備的情況下利用漏洞實(shí)施攻擊，包括通過網(wǎng)頁瀏覽、閱讀短信彩信、收發(fā)郵件、文件下載、無線網(wǎng)絡(luò)通信 (不包括通信距離小于 10 厘米的短距通信) 等方式。

近場通信：指 NFC、藍(lán)牙

靜默安裝：指安裝應(yīng)用實(shí)現(xiàn)過程中，被攻擊者完全無感知（例如，應(yīng)用商店自動安裝時有彈框提示不屬于靜默安裝）