Jabłko ogłosił co opisuje jako „istotną ewolucję” programu Apple Security Bounty. Firma twierdzi, że w ramach programu wypłacono dotychczas ponad 35 milionów dolarów ponad 800 badaczom zajmującym się bezpieczeństwem.
Dzisiejsze ogłoszenie zachwala „kolejny ważny rozdział” programu, obejmujący podwojenie głównej nagrody do 2 milionów dolarów za „łańcuchy exploitów, które mogą osiągnąć podobne cele, co wyrafinowane ataki najemnego oprogramowania szpiegującego”.
Apple twierdzi, że nagroda w wysokości 2 milionów dolarów to „bezprecedensowa kwota w branży i największa wypłata oferowana w jakimkolwiek znanym nam programie nagród”. Znacząco zwiększa także nagrody w innych kategoriach, w tym w iCloud i odkryciach Gatekeepera:
Podwajamy naszą główną nagrodę do 2 milionów dolarów dla łańcuchów exploitów, które mogą osiągnąć podobne cele, jak wyrafinowane ataki najemnego oprogramowania szpiegującego. Jest to kwota bezprecedensowa w branży i najwyższa wypłata oferowana w jakimkolwiek programie nagród, o jakim wiemy — a nasz system premiowy, zapewniający dodatkowe nagrody za obejście trybu blokady i luki w zabezpieczeniach wykryte w oprogramowaniu w wersji beta, może ponad dwukrotnie zwiększyć tę nagrodę, osiągając maksymalną wypłatę przekraczającą 5 milionów dolarów. Podwajamy także lub znacznie zwiększamy nagrody w wielu innych kategoriach, aby zachęcić do bardziej intensywnych badań. Obejmuje to 100 000 dolarów za całkowite obejście Gatekeepera i 1 milion dolarów za szeroki nieautoryzowany dostęp do usługi iCloud, ponieważ jak dotąd nie wykazano żadnego skutecznego exploita w żadnej z kategorii.
Kolejna zmiana podkreślona przez Apple obejmuje rozszerzenie kategorii nagród w celu uwzględnienia nowych obszarów ataku:
Nasze kategorie nagród poszerzają się, aby objąć jeszcze więcej obszarów ataku. W szczególności nagradzamy ucieczki z piaskownicy WebKit jednym kliknięciem kwotą do 300 000 dolarów, a exploity związane z zbliżeniowością bezprzewodową w dowolnym radiu kwotą do 1 miliona dolarów.
Apple wprowadza także flagi docelowe, które opisuje jako „nowy sposób dla badaczy na obiektywne wykazanie możliwości wykorzystania niektórych z naszych najważniejszych kategorii nagród”.
Wprowadzamy flagi docelowe, nowy sposób, w jaki badacze mogą obiektywnie wykazać możliwość wykorzystania niektórych z naszych najważniejszych kategorii nagród, w tym zdalne wykonanie kodu oraz obejście przejrzystości, zgody i kontroli (TCC), a także pomóc określić, czy kwalifikują się do konkretnej nagrody. Naukowcy, którzy złożą raporty z flagami docelowymi, zakwalifikują się do przyspieszonych nagród, które zostaną rozpatrzone natychmiast po otrzymaniu i zweryfikowaniu badania, nawet przed udostępnieniem poprawki.
Wreszcie Apple twierdzi, że dostarczy tysiąc urządzeń iPhone 17 organizacjom społeczeństwa obywatelskiego, które będą mogły dostać te urządzenia w ręce użytkowników z grupy ryzyka, w tym „członków społeczeństwa obywatelskiego, którzy mogą stać się celem najemnego oprogramowania szpiegującego”.
W 2022 roku dokonaliśmy czegoś niespotykanego Dotacja na cyberbezpieczeństwo w wysokości 10 milionów dolarów wspieranie organizacji społeczeństwa obywatelskiego, które badają wysoce ukierunkowane ataki najemnego oprogramowania szpiegującego. Teraz planujemy specjalną inicjatywę obejmującą iPhone’a 17 z funkcją Memory Integrity Enforcement, która naszym zdaniem jest najważniejszym ulepszeniem w zakresie bezpieczeństwa pamięci w historii konsumenckich systemów operacyjnych. Aby szybko udostępnić tę rewolucyjną, wiodącą w branży ochronę członkom społeczeństwa obywatelskiego, którzy mogą stać się celem najemniczego oprogramowania szpiegującego, udostępnimy tysiąc urządzeń iPhone 17 organizacjom społeczeństwa obywatelskiego, które będą mogły dostać je w ręce użytkowników z grupy ryzyka. Ta inicjatywa odzwierciedla nasze ciągłe zaangażowanie w to, aby nasze najbardziej zaawansowane zabezpieczenia docierały do tych, którzy ich najbardziej potrzebują.
Apple twierdzi, że aktualizacje wejdą w życie w listopadzie 2025 r., kiedy to opublikuje również pełny zestawienie nowych i rozszerzonych kategorii, nagród i bonusów w witrynie Apple Security Research.
Na razie więcej szczegółów można przeczytać na Witryna internetowa firmy Apple zajmująca się badaniami nad bezpieczeństwem.
Moje ulubione akcesoria do iPhone’a:
Podążaj za Chancem: Wątki, Błękitny, InstagramaI Mastodont.
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
