Apple și-a dublat angajamentul față de securitatea cibernetică printr-o creștere istorică a programului său de recompense: începând de acum, va plăti până la 2 milioane de dolari prin lanțuri de vulnerabilități care ating obiective comparabile cu atacurile spyware mercenare. Anunțul, făcut de Ivan Krstić în timpul conferinței Hexacon de la Paris, plasează această recompensă pentru bug-uri printre cele mai ambițioase din sector.
Pe lângă noul maxim, compania introduce bonusuri care, în anumite cazuri, poate depăși 5 milioane de dolariAccentul se pune pe atacurile zero-click și pe vectorii cu impact ridicat, în conformitate cu instrumente precum Pegasus, și valorifică măsuri defensive de ultimă generație, precum modul de blocare și protecția Memory Integrity Enforcement, toate într-un ecosistem cu peste 2.300 miliarde de dispozitive active.
Ce se schimbă în programul Apple Security Bounty
Noua limită este rezervată lanțurilor de exploit-uri la distanță fără interacțiunea utilizatorului, adică atacurile notorii cu zero clicuri. În aceste cazuri, Recompensa poate ajunge la 2 milioane dacă se demonstrează un impact comparabil cu cel al unor campanii de spyware mercenare extrem de sofisticate.
Apple actualizează și alte categorii: atacurile de rețea care necesită un singur clic pot ajunge până la 1 milion; atacurile de proximitate wireless, executate folosind orice radio, ajung, de asemenea, până la 1 milion; accesul fizic la un dispozitiv blocat este recompensat cu până la 500.000 de dolari; iar cazurile de malware care ocolesc sandbox-ul unei aplicații permit plăți de până la 500.000 de dolari. În practică, scala prioritizează exploit-uri cu un singur clic sau zero clicuri și impactul real versus vulnerabilitățile teoretice.
Există extensii specifice: se adaugă ținte de mediu WebKit cu funcție de escape cu un singur clic (200.000 USD), o creștere semnificativă pentru a ocoli complet Gatekeeper-ul (100.000 USD) și o nouă sumă care recunoaște Acces larg și neautorizat la iCloud cu plăți de până la 1 milion de dolari. Programul acoperă iOS, iPadOS, macOS, watchOS, tvOS și visionOS, atât componente software, cât și componente de infrastructură.
Bonusurile sunt, de asemenea, consolidate. Ocolirea modului de blocare cu un lanț valid sau găsirea unor defecte exclusive în software-ul Beta poate declanșa multiplicatori și bonusuri în valoare totală de peste 5 milioane de dolari în scenarii extreme. În plus, Apple introduce „Target Flags”, un mecanism pentru a demonstra rapid și obiectiv exploatabilitatea în categorii cheie și pentru a accelera... plăți și validări atunci când criteriile sunt îndeplinite.
Motive, calendar și context
Potrivit lui Ivan Krstić, creșterea sumelor este o modalitate de a recunoaște că găsirea defectelor în platformă devine din ce în ce mai dificilă și necesită mai mult timp și abilități. Scopul este ca cei care se confruntă cu scenarii mai complexe preferă să le raporteze în mod responsabil către Apple înainte ca acestea să ajungă pe piețele gri.
Recompensa pentru bug-uri de la Apple a început în 2016 ca un program doar pe bază de invitație, cu plăți maxime de 200.000 de dolari; în 2019, a ridicat ștacheta la 1 milion de dolari, iar de la lansarea publică din 2020, compania susține că a distribuit... mai mult de 35 milioane de dolari printre peste 800 de cercetători, cu mai multe plăți individuale de 500.000 de dolari.
Creșterea recompensei se aliniază cu un cadru defensiv mai larg: Modul Lockdown (introdus în 2022) și noua Memory Integrity Protection ridică ștacheta tehnică; de fapt, Apple spune că nu a observat ocoliri ale Modului Lockdown de la lansare, deși recunoaște că Nu există securitate absolutăÎn paralel, cazuri precum Pegasus și procesul împotriva NSO Group ilustrează de ce atacurile de la distanță cu zero clic sunt prioritizate.
Modificările anunțate vor începe să intre în vigoare în noiembrie, când Apple va publica lista completă a noilor categorii și a sumelor revizuite. Pentru a participa, cercetătorii trebuie să trimită rapoarte detaliate din punct de vedere tehnic prin intermediul security.apple.com/bounty/Compania subliniază că plățile sunt stabilite la discreția sa, în funcție de tipul problemei, nivelul de acces obținut și calitatea raportului.
Portalul vă permite să vizualizați și să urmăriți fiecare caz, inclusiv confirmări în notele de lansare dacă o corecție este derivată din raport. Când este cazul, sistemul vă va notifica automat despre acordarea acordului, îmbunătățind... transparență și trasabilitate al întregului proces de dezvăluire responsabilă.
Prin această actualizare, Apple se angajează să stimuleze descoperirile cu impact ridicat, să își extindă aria de acoperire la mai multe suprafețe de atac și să mențină colaborarea comunității de cercetare cu compania. Mesajul este clar: prioritizați lanțuri complete, recompensați dificultățile reale și creșteți protecția atât pentru grupurile cele mai expuse, cât și pentru întreaga populație cu cel mai avansat risc de atac. cele mai mari recompense din sector.
