IoT漏洞定级评分标准V1.0 正式生效
经过近3个月的观察期,《IoT漏洞定级评分标准V1.0》正式生效,欢迎大家提交漏洞,也继续接受大家对相关标准的指正。
IoT的生态日益壮大,未来的物联网希望有你一份,一起为世界的未来努力!
IoT安全漏洞等级
根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】四个等级。每个漏洞贡献值最高为100,安全币最高为1500。 由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:
高危严重漏洞若符合以下条件,可取得额外现金奖励1万~10万(人民币):
Ø 非内核和非驱动漏洞。利用有效可用的exploit能够稳定实现将普通用户进程权限提升为system或者普通用户权限提升为root或system权限提升为root的漏洞。(需要提供exploit源码和可执行文件)
Ø 内核和驱动漏洞。利用有效可用的exploit能够稳定实现将普通用户进程权限提升为root或system权限提升为root,并同时能够关闭AliOS系统的AliSEC安全模块的漏洞。(需要提供exploit源码和可执行文件)。
【 严重 】
贡献值【90~100】,安全币【1050~1500】,本等级包括:
1、 远程获取系统特权的漏洞。包括但不仅限于远程命令执行、任意代码执行等能导致远程控制设备并且窃取设备内隐私信息的漏洞。
2、远程导致设备永久性拒绝服务的漏洞。包括但不仅限于系统设备遭到远程发起的永久性拒绝服务攻击(设备无法再使用:完全永久性损坏,或需要重新刷写整个操作系统)。
【 高 】
贡献值【60~80】,安全币【400~800】,本等级包括:
1、远程获取系统非特权权限的漏洞。包括但不仅限于远程命令执行、任意代码执行等漏洞。
2、本地获得系统特权权限的漏洞。包括但不限于本地权限提升漏洞。
3、远程越权访问敏感信息漏洞。敏感信息包括但不仅限于本地安装的应用在请求并获得权限后才可以访问的数据,或仅限特权进程访问的数据。
4、远程越权操作漏洞。包括但不仅限于远程绕过需要用户发起或者获得用户许可后方可使用的功能限制,进行越权敏感操作的漏洞。
5、导致设备拒绝服务的漏洞。包括但不仅限于系统设备遭到本地发起的永久性拒绝服务攻击(设备无法再使用:完全永久性损坏,或需要重新刷写整个操作系统)、远程攻击导致的暂时性拒绝服务攻击漏洞(远程挂起或者重新启动)。
6、权限绕过漏洞。包括但不仅限于全面深入的绕过内核级防护功能,或利用缓解技术存在的漏洞、本地绕过针对用户功能要求限制对任何开发者或针对任何安全设置进行修改、全面绕过应用隔离操作系统保护功能。
【 中 】
贡献值【30~50】,安全币【60~150】,本等级包括:
1、远程获取系统低权限的漏洞。包括但不仅限于在受限进程中远程执行任意代码漏洞。
2、本地越权操作漏洞。包括但不仅限于本地绕过需要用户发起或者获得用户许可后方可使用的功能限制,进行越权敏感操作的漏洞。
3、导致设备暂时性拒绝服务的漏洞。包括但不仅限于本地攻击导致的暂时性拒绝服务攻击漏洞(设备需要恢复出厂设置)。
4、权限绕过漏洞。包括但不仅限于全面深入的绕过用户级防护功能,或在特权进程中利用缓解技术存在的漏洞、绕过设备保护功能/恢复出厂设置保护功能的漏洞。
5、远程越权访问普通信息漏洞。普通信息包括但不仅限于通常可供本地安装的所有应用访问的数据。
6、敏感信息泄露。包括但不仅限于通过逆向、网络劫持、源代码等方式获取系统中重要密钥、密码、Secret等可利用的数据。
【 低 】
贡献值【10~20】,安全币【15~50】,本等级包括:
1、权限绕过漏洞。包括但不仅限于全面深入的绕过用户级防护功能,或在非特权进程中利用缓解技术存在的漏洞、本地绕过系统权限控制获取用户的非敏感受控数据的漏洞。
2、导致设备暂时性拒绝服务的漏洞。包括但不仅限于本地攻击导致的暂时性拒绝服务攻击漏洞(可通过以下等多种方法解决:如使设备重启并移除存在问题的应用、adb连接后变更恢复等)。
3、本地越权操作漏洞。包括但不仅限于不通过用户交互的情况下,调用系统隐藏功能,对用户的使用造成实际困绕或发生实际损失的漏洞。
进程说明
1、受限进程:在高度受限的 AliSE 域中运行的进程、或受限程度远远超过普通应用的进程。
2、非特权进程:普通应用或进程、或在安全沙盒中运行的应用或进程。
3、特权进程:拥有第三方应用无法获得的重要权限的应用或进程。
4、内核:属于内核一部分的功能,或在与内核相同的 CPU 环境中运行的功能(例如,设备驱动程序)。
漏洞接收范围说明
一、AliOS业务
1、AliOS开源代码地址
https://developer.alios.cn
2、收集以下产品的AliOS操作系统的漏洞。
Pad类:惠普YunOS Book
其他产品将陆续更新。
备注:合作厂商二次开发模块产生的漏洞、内核、驱动产生的漏洞不在接收范围内。
3、调试平台
AliOS被设计为可以适配到多种设备上,如智能手机,车机,Lite设备等。为了方便广大的安全研究者能够更加方便的基于AliOS研究调试,可使用参考硬件平台:
https://developer.alios.cn/#/%2Fdevelop%2FHardwarePlatform%2Freference_platform_nuc?level=2
二、AliOS Things业务
AliOS Things 是 AliOS 家族旗下、面向 IoT 领域的、高可伸缩的物联网操作系统。AliOS Things 致力于搭建云端一体化 IoT 基础设施,具备极致性能、极简开发、云端一体、丰富组件、安全防护等关键能力,并支持终端设备连接到阿里云 Link,可广泛应用在智能家居、智慧城市、工业,新出行等领域。
AliOS Things 官方主页
http://aliosthings.io
AliOS Things 开源代码地址
https://github.com/alibaba
AliOS Things 开发调试平台
https://github.com/alibaba/AliOS-Things/wiki/AliOS-Things-Studio
AliOS Things 应用开发介绍
https://github.com/alibaba/AliOS-Things/wiki/AliOS-Things-APP-DEV-Guide
关于更多 AliOS Things 的信息可以访问开发者社区:
https://bbs.aliyun.com/thread/410.html
贡献值、安全币计算方法
贡献值将用于荣誉奖励颁发、安全币将用于礼品奖励兑换。
安全币和现金兑换比例为1:10。即一个1500安全币的严重漏洞奖励是15000人民币。
贡献值对应表
|
应用/贡献值 |
严重漏洞 |
高危漏洞 |
中危漏洞 |
低危漏洞 |
|
AliOS系统代码 |
1350-1500 |
600-800 |
90-150 |
25-50 |
安全币对应表
|
完整度/安全币 |
严重漏洞 |
高危漏洞 |
中危漏洞 |
低危漏洞 |
|
report+poc+patch |
1350-1500 |
600-800 |
90-150 |
25-50 |
|
report+poc |
1050-1200 |
400-600 |
60-120 |
15-40 |
评分标准通用原则
1、评分标准仅适用于阿里巴巴集团产品和业务。与阿里巴巴集团完全无关的漏洞,不计贡献值。
2、本标准仅适用于设备操作系统、设备端导致的漏洞。WEB、云端、移动端导致的漏洞走原来的《漏洞评分标准V3.0》。
3、漏洞接收范围仅限于设备厂商原生系统及应用。设备软硬件均为官方公开的最新版本,设备配置为缺省配置。
4、所提交的漏洞只有漏洞报告(report)而不包括poc将根据严重程度最高可获得20安全币的奖励。
5、漏洞提交的patch是否被采用获得奖励,最终由ASRC判定。
6、所提交的漏洞详情最大化完整,如POC、Exploit、patch等,提供的信息越全,奖励越高。
7、 出现漏洞标准中未覆盖的漏洞类型,ASRC会根据实际漏洞的思路、漏洞的攻击场景、技术难度、攻击影响综合判定等级,并更新相应评分标准。
8、 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个 接口引起的多个安全漏洞等。
9、 同一漏洞,首位报告者计贡献值,其他报告者均不计。
10、在漏洞未修复之前,被公开的漏洞不计分。
11、报告网上已公开的漏洞不计贡献值。
12、同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。
13、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时阿里巴巴集团保留采取进一步法律行动的权利。
14、漏洞奖励计划最终解释权归ASRC所有。
争议解决办法
在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通。 ASRC将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定。
上一篇: 物联网安全青莲晚报(第四期)
