Relatórios de segurança

Se você identificou uma possível vulnerabilidade de segurança em qualquer produto ou software Samsung Mobile,
informe-nos aqui

Leia atentamente as diretrizes de relatório e os critérios de classificação de risco de segurança da Samsung abaixo antes de criar um relatório.

Incentivamos a parte relatora a colocar o interesse dos usuários em primeiro lugar e seguir a filosofia de Divulgação Responsável, que envolve notificar-nos em particular sobre quaisquer vulnerabilidades de segurança antes de divulgá-las completamente para que possamos solucioná-las e minimizar o risco geral aos usuários.
Diretrizes para criar relatórios
  • Ao relatar a vulnerabilidade de segurança identificada, você precisa criar uma conta Samsung caso ainda não tenha uma.
    As seguintes informações são necessárias:
    • Nome e e-mail de contato
    • Versão de firmware dos produtos afetados
    • Nível de patch de segurança do Android do dispositivo
    • Tipo e categoria de vulnerabilidade
    • Descrição da possível vulnerabilidade
    • Passos para reproduzir o problema
    • Prova de conceito (PoC)
    • Comportamento correto esperado ou solução alternativa
    • Planos de divulgação, se houver
  • Se você quiser enviar um relatório de vulnerabilidade de segurança diretamente para nós, envie-o para mobile.security@samsung.com com as informações acima e criptografado com a chave PGP pública da Samsung Mobile Security (impressão digital: F5F3 8EEC 4388 E4E2 9184 78BD BA2D 9A24 CD38 64BE). Observe que os relatórios não enviados pela página "Criar relatório" mas enviados por e-mail, não serão elegíveis para o programa de recompensas da Samsung Mobile Security.
  • Observe que esta página tem o objetivo de relatar vulnerabilidades de segurança dos produtos Samsung Mobile. Se a possível vulnerabilidade identificada se aplicar a outros produtos Samsung, acesse aqui.
Política de divulgação responsável
  • Na Samsung, levamos questões de segurança e privacidade muito a sério, e valorizamos a comunidade que pesquisa segurança com nosso compromisso de solucionar possíveis vulnerabilidades de segurança o mais rápido possível. A divulgação responsável dessas vulnerabilidades nos ajuda a garantir a segurança e a privacidade de nossos consumidores finais.
  • Pedimos à comunidade de pesquisa de segurança:
    • Evitar ao máximo violações de privacidade, degradação da experiência do usuário, interrupção de servidores internos ou externos e destruição de dados ou ativos físicos durante testes de segurança;
    • Usar as diretrizes de relatório mencionadas acima para o maior número de detalhes possível das vulnerabilidades em potencial; e
    • Manter as informações sobre a possível vulnerabilidade descoberta confidenciais entre você e a Samsung até que tenhamos uma solução em vigor.
    • Impedir o uso de quaisquer explorações ou vulnerabilidades para fins comerciais.
  • Em troca, nos comprometemos a:
    • Responder dentro de no máximo 48 horas após o recebimento do relatório inicial;
    • Trabalhar com você para entender e resolver rapidamente a possível vulnerabilidade;
    • Tentar ao máximo resolver vulnerabilidades de segurança e lançar patches para consumidores finais dentro de 90 dias; e
    • Recompensar você, se você optar por participar do programa de recompensas da Samsung Mobile Security, e reconhecer sua contribuição por meio de agradecimentos a relatórios qualificados.
Classificação de risco de segurança da Samsung Mobile

A tabela a seguir inclui nossos critérios de classificação de risco de segurança como orientação padrão. Cada vulnerabilidade de segurança relatada receberá uma classificação de risco com base nesta tabela. Observe que ela pode ser atualizada sem aviso prévio.

Classificação de risco de segurança da Samsung Mobile
Classificação Descrição/Critérios de classificação
Crítico
  • Execução de código arbitrário no TEE
  • Execução remota de código arbitrário em um processo privilegiado ou TCB
  • Negação remota de serviço permanente (inoperabilidade do dispositivo; totalmente permanente ou que exige reprogramação de todo o sistema operacional)
  • Ignorar remotamente os requisitos de interação do usuário na instalação do pacote ou comportamento equivalente
  • Ignorar inicialização segura
  • Acesso não autorizado a chave protegida por hardware
Alto
  • Execução remota de código arbitrário em um processo sem privilégios
  • Execução local de código arbitrário em um processo privilegiado ou TCB
  • Acesso não autorizado a dados protegidos pelo TEE
  • Acesso remoto a dados protegidos (dados normalmente acessíveis apenas a aplicativos instalados localmente que solicitam permissão ou que são limitados a um processo privilegiado)
  • Negação local e permanente de serviço (inoperabilidade do dispositivo; totalmente permanente ou que exige reprogramação de todo o sistema operacional)
  • Negação remota e temporária de serviço do dispositivo (travamento remoto ou reinicialização)
  • Ignorar remotamente os requisitos de interação do usuário (acesso à funcionalidade que normalmente exigiria iniciação ou permissão do usuário)
  • Ignorar localmente os requisitos de interação do usuário para qualquer desenvolvedor ou modificação nas configurações de segurança
  • Desvio geral de proteções do sistema operacional que isola os dados do aplicativo de outros aplicativos
  • Desvio geral para proteções do sistema operacional que isolam usuários ou perfis uns dos outros
  • Acesso não autorizado a informações pessoais confidenciais (isto é, informações pessoais identificáveis ou PII) protegidas por controles de criptografia
  • Ignorar bloqueio de tela
  • Ignorar restrições da operadora ou desbloquear rede não autorizada
Moderado
  • Execução remota de código arbitrário em um processo restrito
  • Execução local de código arbitrário em um processo sem privilégios
  • Desvio geral para uma defesa em profundidade ou tecnologia de mitigação de exploração em um processo privilegiado, o TCB ou o TEE
  • Ignorar restrições em um processo restrito
  • Ignorar proteção do dispositivo/proteção de redefinição de fábrica
  • Acesso remoto a dados desprotegidos (dados normalmente acessíveis a qualquer aplicativo instalado localmente)
  • Acesso local a dados protegidos (dados normalmente acessíveis apenas a aplicativos instalados localmente que solicitam permissão ou que são limitados a um processo privilegiado)
  • Ignorar localmente os requisitos de interação sem a ciência do usuário (acesso à funcionalidade que normalmente exigiria iniciação ou permissão do usuário)
  • Negação local e permanente de serviço (o dispositivo requer uma redefinição de fábrica)
  • Acesso não autorizado a informações pessoais não identificáveis (ou seja, não-PII) protegidas por controles de criptografia
  • Acesso não autorizado a chave protegida por software
  • Prevenção direcionada de acesso a serviços de emergência
Baixo
  • Desvio geral para uma defesa em nível de usuário em profundidade ou tecnologia de mitigação de exploração em um processo sem privilégios
  • Execução local de código arbitrário em um processo restrito
  • Uso indevido de função de criptografia ou algoritmo
  • Ignorar localmente os requisitos de interação do usuário (acesso à funcionalidade que normalmente exigiria iniciação ou permissão do usuário)
Nenhum impacto na segurança
  • Vulnerabilidade não explorável ou uma vulnerabilidade com impacto inferior a “baixo” que pode ser mitigada por um ou mais controles existentes (por exemplo, negação local e temporária de serviço)

- Última atualização: 10 de agosto de 2017