Фокус данной программы направлен на поиск уязвимостей в умных устройствах Яндекса.
Мы выделяем несколько основных направлений:

Уязвимости приложений и сервисов на устройстве
Выполнение кода, чтение локальных файлов, различные типы инъекций, которые ведут к получению повышенных привилегий на устройстве.
Уязвимости могут быть в приложениях на устройстве, голосовых навыках, привилегированном/не привилегированном процессе и так далее.

Уязвимости в программном обеспечении производителя SoC и Firmware
На низком уровне устройства нас интересуют атаки, позволяющие обходить механизмы безопасной загрузки и исполнять произвольный код.
Такие проблемы мы передаем нашим партнерам, но не занимаемся выпуском CVE.
Если вы хотите искать низкоуровневые проблемы, вам следует ознакомиться со спецификацией ARM Trusted Firmware. Большинство наших устройств основывается на ней.

Обход подписной модели
Часть наших устройств продаются по подписной модели, предполагающей регулярные выплаты за использование устройства. При отсутствии выплат на устройства накладываются ограничения.
Например, больше нельзя будет смотреть фильмы на Кинопоиске или общаться голосом с Алисой. Нас интересуют любые способы обхода этих ограничений.

Получение повышенных привилегий через интерфейсы на PCB
В рамках программы мы не рассматриваем сложные, дорогие и трудновоспроизводимые атаки на плату, например, Fault Injection. Однако нас интересуют атаки, которые позволяют через подключение к JTAG, USB и другим физическим интерфейсам устройства и получить высокопривелигированный доступ.

Раскрытие критичной информации о пользователе
Нам интересны проблемы, которые могут приводить к раскрытию критичной информации о пользователе, например, которая может его идентифицировать. Раскрытие должно производиться без физического контакта с устройством.

Яндекс не выплачивает вознаграждение за:

• любые атаки на железо, которые требуют изменения конфигурации платы, удаление чипов с печатной платы, ее перепрограммирования или использования дорогостоящих специфичных устройств и атак. Нам интересны атаки, которые позволяют через подключение к JTAG, USB и другим физическим интерфейсам устройства получить высокопривелигированный доступ;
• атаки по сторонним каналам без высокой вероятности воспроизведения;
• "лучшие практики" по безопасности умных устройств без доказанного влияния на безопасность;
• использование незашифрованной файловой системы или отсутствие шифрование конкретных файлов;
• отсутствие обфускации и бинарной защиты (анти-отладка);
• раскрытие Access keys, которые имеют ограничения или зашитые в .apk/другие файлы и не дают доступа к персональным данным;
• уязвимости в сторонних приложениях без доказанного влияния на безопасность устройства или приложений Яндекса;
• факт хранение пользовательских данных или аутентификационных токенов на файловой системе;
• уязвимости в приложениях на устройстве, которые не оказывают значительного влияния на безопасность;
• локальные DoS-атаки. В рамки программы входит удаленный DOS, DOS в ближнем поле устройства и DOS-атаки, который нельзя устранить с помощью перезагрузки;
• раскрытие некритичной информации о пользователе, устройстве или внутренней информации компании;
• в голосовых навыках, разработанных не Яндексом;
• обход родительского контроля с помощью изменения голоса;
• уязвимости в устройствах не на поддержке.