プログラム概要

バイドゥ

報告数2

有効報告数0

バグを報告する
  • 企業名
    バイドゥ
    企業サイト
    http://www.baidu.jp/
    募集対象について
    Simeji - Japanese Keyboard with Emoticons
    Simeji - 日本語文字入力&スタンプ・顔文字キーボード
    調査方法のルール
    Please only conduct test against the application specified here as target. Vulnerabilities reported on applications outside of the targets are not eligible for bounty rewards. Any vulnerability test against the domains outside of the targets are explicitly prohibited.

    Any violation of the Terms of the Service of the “ZERO/ONE Bug Bounty Platform”, and/or performance of DoS (Denial of Service)attack or equivalent act that can degrade the performance of our service are also explicitly prohibited.

    The vulnerability targets of this program is limited. Please note that reports of vulnerabilities not listed here are not eligible for bounty rewards. For more details, please refer to the “Bounty Payment Policy”


    指定したアプリケーションに対してのみ調査を実施してください。調査対象のアプリケーション以外に対しての調査行為によるご報告については、報奨金の支払い対象として評価されません。調査対象以外のドメインに対しての調査行為については禁止します。

    また、「ZERO/ONE BugBountyプラットフォーム」の規約に違反する行為および当社のサービスに負荷を与えるDos(サービス運用妨害)攻撃およびそれに類する行為は禁止します。

    今回は調査対象の項目を限定しております。調査対象項目以外のご報告は、報奨金支払い対象として評価されませんのでご注意ください。詳細は「報奨金の支払いポリシー」をご参照ください。
    対象のドメイン・URL
    The following applications are the targets for this program.
    対象は以下のアプリケーションになります。

    Simeji
    ・iOS
     https://itunes.apple.com/jp/app/id899997582?mt=8
    ・Android
     https://play.google.com/store/apps/details?id=com.adamrocker.android.input.simeji
     As for the Android, bounty rewards will be eligible from version 10.0.3.
     Android版につきましては、Version 10.0.3以降が対象になります。

    Simeji Pro (Limited to iOS)
     https://itunes.apple.com/jp/app/id959791915?mt=8

    ※1 The server that the application connect are explicitly outside of the target.
    ※2 Desktop version of the Simeji for Windows(β)are outside of the targets.
    ※1 アプリケーションが接続するサーバは調査対象範囲外です。
    ※2 PC版のSimeji for Windows(β)は対象外になります。
    報奨金の支払いポリシー
    The following vulnerabilities are eligible form bounty rewards.

    1. Hijack smartphone
     Hijack: Ability to call or send SMS, email, activate camera, spy camera, or eavesdropping despite the intention of the user.

    2. Unauthorized access (Ability to gain access to information without permission.)
     : Information submitted when applying for Android / At the privacy setting on iOS
      (Ability to gain device information despite what user have granted permission on the Settings>Privacy)
     : Ability to gain access to information that user haven’t allowed to sent on Simeji. 

    3. Use of “Moplus SDK”
     (1) Application contain the source code of “Moplus SDK”
     (2) Ability to execute the function of the “Moplus SDK” (If the application are using the “Moplus SDK”)

    The following outlines the bounty for specific classes of vulnerabilities listed as item 1. to 3. above.
    ¥100,000 〜 ¥300,000 per vulnerability

    4. Report of vulnerabilities not listed above may be eligible for the bounty (¥10,000-)

    本報奨金プログラムの支払い対象となる脆弱性は以下の通りとなります。

    1. スマホの乗っ取りが可能かどうか
     乗っ取り:ユーザーの意に反して通話、SMS送信、メール送信、カメラ起動、盗撮、盗聴することが可能など

    2. Permission(許可)を取得しているもの以外の情報取得が可能
     : Android申請時に提出しているもの/iOSはプライバシー設定(Settings>Privacy)でユーザー自身が許可した内容に反して端末情報の取得が可能
     : Simeji内でユーザーが任意で情報送信を許可しているもの以外

    3.「Moplus SDK」が使用されている
     (1) アプリケーション内に「Moplus SDK」のソースコードが存在する
     (2) アプリケーション内に「Moplus SDK」が使用されていた場合、その機能を実行可能

    上記3項目についてお支払いする報奨金の目安は以下の通りとなります。
    各項目、100,000円〜300,000円

    4. 上記以外の有効な報告についても、報奨金をお支払いする場合があります。
    (10,000円〜)
    募集期間
    2016/03/02〜2016/05/30
    報奨金総額
    1,500,000
    報奨金の範囲
    10,000円 ~ 300,000
    備考
    As for the eligibility, please refer to the "Terms of Service Article 4" of this site.
    参加資格については、本サイトの利用規約 第4条 をご参照ください。

    Last updated : Mar. 4, 2016
    2016年3月4日更新
    バグを報告する

バグ報告TOP10