Η Apple ανακοίνωσε μια σημαντική αναθεώρηση του προγράμματος Security Bounty, διπλασιάζοντας την κορυφαία πληρωμή σε 2 εκατομμύρια δολάρια για ερευνητές που ανακαλύπτουν αλυσίδες εκμετάλλευσης μηδενικού κλικ. Το νέο μέγιστο ισχύει για τρωτά σημεία που μπορούν να θέσουν σε κίνδυνο εξ αποστάσεως μια συσκευή χωρίς αλληλεπίδραση με τον χρήστη, ταιριάζοντας με την πολυπλοκότητα των επιθέσεων μισθοφορικού spyware που χρησιμοποιούνται από αντιπάλους σε κρατικό επίπεδο.
Η εταιρείαλέειΤο διευρυμένο σύστημα ανταμοιβής του θα τεθεί επίσημα σε ισχύ τον Νοέμβριο του 2025 και θα μπορούσε να ξεπεράσει τα 5 εκατομμύρια δολάρια όταν θα συμπεριληφθούν τα μπόνους για παρακάμψεις της λειτουργίας Lockdown και σφάλματα που βρέθηκαν στο λογισμικό beta. Η Apple περιγράφει την αλλαγή ως «τη μεγαλύτερη πληρωμή που προσφέρεται από οποιοδήποτε πρόγραμμα επιβράβευσης» και μέρος της ευρύτερης προσπάθειάς της να ενθαρρύνει την υπεύθυνη αποκάλυψη τρωτών σημείων υψηλού αντίκτυπου.
Αυτή η επέκταση έρχεται καθώς η Apple συνεχίζει να ενισχύει τα θεμέλια ασφαλείας του iOS, του macOS και των άλλων πλατφορμών του μέσω λειτουργιών όπως το Lockdown Mode και το Memory Integrity Enforcement, που έκαναν το ντεμπούτο τους στα τσιπ A19 και A19 Pro στα iPhone 17 και iPhone 17 Pro. Παρά τα μέτρα αυτά, η εταιρεία αναγνωρίζει ότι οι εξελιγμένοι αντίπαλοι συνεχίζουν να προσαρμόζονται, απαιτώντας μεγαλύτερα κίνητρα για τους ερευνητές να αποκαλύψουν και να αναφέρουν κρίσιμα ελαττώματα προτού μπορέσουν να τα εκμεταλλευτούν.
ΣΥΓΓΕΝΕΥΩΝ:Η Apple λέει όχι στην οθόνη αφής MacBook, διπλασιάζεται σε ξεχωριστά iPad και Mac
Στο πλαίσιο του ενημερωμένου προγράμματος, η Apple εισάγει το Target Flags, ένα νέο σύστημα που επιτρέπει στους ερευνητές να αποδείξουν ακριβώς το επίπεδο πρόσβασης που πέτυχαν κατά τη διάρκεια μιας εκμετάλλευσης, όπως η εκτέλεση αυθαίρετου κώδικα ή η ανάγνωση/εγγραφή σε όλο το σύστημα. Μόλις η Apple επαληθεύσει τη σημαία που καταγράφηκε, ο ερευνητής θα λάβει ένα επιταχυνόμενο βραβείο χωρίς να περιμένει για μια δημόσια επιδιόρθωση, βελτιστοποιώντας τη διαδικασία που προηγουμένως διήρκεσε μήνες.
Η εταιρεία έχει επίσης συγκεντρώσει ανταμοιβές σε πολλές βασικές κατηγορίες. Μια πλήρης παράκαμψη Gatekeeper στο macOS θα κερδίζει πλέον 100.000 $, ενώ η αλυσιδωτή εκτέλεση κώδικα WebKit με διαφυγές sandbox μπορεί να φτάσει έως και τα 300.000 $. Οι εκμεταλλεύσεις που περιλαμβάνουν μη εξουσιοδοτημένη πρόσβαση στο iCloud ή παραβιάσεις ασύρματης εγγύτητας σε οποιαδήποτε διεπαφή ραδιοφώνου στις πιο πρόσφατες συσκευές μπορούν να αποφέρουν 1 εκατομμύριο δολάρια. Ακόμη και ευρήματα χαμηλού αντίκτυπου εκτός των μεγάλων κατηγοριών bounty θα πληρούν πλέον τις προϋποθέσεις για μικρότερες ανταμοιβές $1.000, ενθαρρύνοντας τους νέους συμμετέχοντες να εισέλθουν στο πεδίο.
Από τότε που άνοιξε το πρόγραμμα σε όλους τους ερευνητές το 2019, η Apple λέει ότι έχει πληρώσει πάνω από 35 εκατομμύρια δολάρια σε περισσότερους από 800 συνεισφέροντες, συμπεριλαμβανομένων πολλαπλών βραβείων μισού εκατομμυρίου δολαρίων. Η νέα δομή στοχεύει να διατηρήσει τα κορυφαία ταλέντα ασφαλείας εστιασμένα στη βελτίωση του οικοσυστήματος της Apple αντί στην πώληση εκμεταλλεύσεων στη μαύρη αγορά, όπου οι ιδιώτες μεσίτες είναι γνωστό ότι προσφέρουν ποσά πολλών εκατομμυρίων δολαρίων για τα ίδια τρωτά σημεία.