100万奖池|第七期小米智能生活守护计划启动！

划重点：

本期为小米智能生活守护计划特别活动——

「百万赏金挑战」，重点面向小米9手机的用户数据安全，准备了100万元现金奖池，测试时间持续到12.30号。你还犹豫啥，一起当暴富兄弟叭！

本期目标产品：小米9，它是小米2019年旗舰手机，采用：高通骁龙855，搭载索尼三摄全焦段镜头1200万人像镜头，4800万像素主摄，1600万微距+超广角，6.39英寸三星AMOLED水滴屏。

测试时间：2019年11月7日-2019年12月30日

测试 ROM 版本：>=11.0.2

测试浏览器版本：>=11.1.5

漏洞提交地址：

https://sec.xiaomi.com/submit/project/7

活动规则

漏洞满足以下规则并且验证真实有效时，方可进入本次「百万赏金挑战」奖金评估：

1、官方小米9手机稳定版 rom，版本>=11.0.2

2、浏览器版本>=11.1.5（如低于该版本可通过该地址安装https://cdn.cnbj1.fds.api.mi-img.com/hack/test/signed_PLATFORM_Browser-release.apk）

3、默认系统设置，无任何改动

4、不能申请和使用 Accessibility 权限

5、外界未曝光细节与 POC 的 0day 漏洞（Chrome buglist 内公开漏洞不在奖励计划内）

6、漏洞（包括 root 权限提升）只在同一个利用场景中判定有效，其他场景不得重复利用

针对于包括但不限于需要诱导用户点击链接、钓鱼email、诱导用户安装恶意应用等行为才能触发的安全漏洞，分为无交互、弱交互和强交互三种类型：

1、无交互（无需物理接触前提，如网络中间人、消息推送、远程攻击这类场景），奖励系数=1

2、弱交互（针对于诱导用户点击链接、点击查看钓鱼邮件/短信内容才可触发漏洞这类情况），奖励系数=0.7

3、强交互（针对于诱导用户安装恶意应用、需要目标小米账号密码、插入数据线才可触发漏洞这类情况），奖励系数= 0.4

白帽子提供完整漏洞利用链，小米安全团队通过官方小米9手机在默认设备要求下进行无交互验证，复现成功则确认漏洞与攻击场景成立。

如漏洞在无交互前提下未能成功复现，小米安全团队会对漏洞利用链中有效的漏洞进行单独折算奖励

漏洞有效性以最先提交为准，后续提交的重复漏洞不纳入「百万赏金挑战」奖励范围，但我们依然会对 POC 链内非重复漏洞内容进行场景折算奖励（如完整复现 POC 链中有 3 个漏洞，其中一项未重复，则奖励为完整奖励的 1/3）。

PS:如担心漏洞重复，提交前可以向security@xiaomi.com提供漏洞片段信息，安全团队进行验重确认。

奖励标准

本期活动漏洞影响范围如下:

(其他风险不纳入本次「百万赏金挑战」，但仍依照 MiSRC 奖励标准进行相应奖励）

奖金计算方法:

实得奖金=相应奖励系数 x 交互奖励系数 + 挑战项（成功达成前提）

挑战项：

通过未公开 0day 漏洞在任意场景可以获取小米9 root 权限（官方 root 工具除外），直接奖励10w 元奖金。

注意事项

1、违反测试条款泄露漏洞细节危害用户安全的，小米有权拒绝对其奖金发放并追究其相关法律责任。

2、测试过程与项目结束后，请对漏洞报告中所有细节严格保密，如需要进行细节披露、PR、技术演讲/分享等行为，请联系 security@xiaomi.com 征求意见，违反者小米公司有权追究法律责任。

3、测试过程中不得影响正常用户使用，禁止使用 DDOS 等暴力测试攻击服务器，任何以测试为理由造成用户或者小米公司损失的，小米公司有权追究法律责任。

4、任何因测试规则与测试过程中产生的疑问可联系 security@xiaomi.com 协商解决

5、小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权

文末福利

转发该文到朋友圈，转发截图发至公众号后台，第5、第15、第x5位朋友将获得小米巨能写一盒~。