Apple har annonceret en større revision af deres Security Bounty-program, der fordobler topudbetalingen til $2 millioner for forskere, der opdager nul-klik udnyttelseskæder. Det nye maksimum gælder for sårbarheder, der eksternt kan kompromittere en enhed uden brugerinteraktion, hvilket matcher det sofistikerede ved lejesoldats spywareangreb, der bruges af modstandere på statsniveau.
Virksomhedensigerdets udvidede belønningssystem vil officielt træde i kraft i november 2025 og kan overstige $5 millioner, når det inkluderer bonusser for Lockdown Mode-omgåelser og fejl fundet i beta-software. Apple beskriver ændringen som "den største udbetaling, der tilbydes af ethvert bounty-program" og en del af dets bredere indsats for at tilskynde til ansvarlig afsløring af sårbarheder med stor indvirkning.
RELATERET:Apple siger nej til touchscreen MacBook, fordobles på separate iPad og Mac
Denne udvidelse kommer, da Apple fortsætter med at styrke sikkerhedsgrundlaget for iOS, macOS og dets andre platforme gennem funktioner som Lockdown Mode og Memory Integrity Enforcement, som debuterede på A19 og A19 Pro-chipsene i iPhone 17 og iPhone 17 Pro. På trods af disse foranstaltninger anerkender virksomheden, at sofistikerede modstandere fortsætter med at tilpasse sig, hvilket kræver større incitamenter for forskere til at afdække og rapportere kritiske fejl, før de kan udnyttes.
Under det opdaterede program introducerer Apple Target Flags, et nyt system, der lader forskere demonstrere præcist hvilket niveau af adgang de opnåede under en udnyttelse, såsom vilkårlig kodeudførelse eller system-dækkende læsning/skrivning. Når Apple har verificeret det fangede flag, vil forskeren modtage en accelereret pris uden at vente på en offentlig rettelse, hvilket strømliner det, der tidligere var en måneder lang proces.
Virksomheden har også rejst belønninger i flere nøglekategorier. En komplet Gatekeeper-bypass på macOS vil nu tjene $100.000, mens kæde af WebKit-kodeudførelse med sandbox-escapes kan nå op til $300.000. Udnyttelse, der involverer uautoriseret iCloud-adgang eller trådløse nærhedshack over enhver radiogrænseflade i de nyeste enheder, kan give $1 million. Selv lav-påvirkningsresultater uden for store dusørkategorier vil nu kvalificere sig til mindre $1.000-belønninger, hvilket tilskynder nye deltagere til at komme ind i feltet.
Siden åbningen af programmet for alle forskere i 2019, siger Apple, at det har betalt over $35 millioner til mere end 800 bidragydere, inklusive flere priser på en halv million dollars. Den nye struktur sigter mod at holde topsikkerhedstalenter fokuseret på at forbedre Apples økosystem frem for at sælge udnyttelser på det sorte marked, hvor private mæglere har været kendt for at tilbyde flere millioner dollars for de samme sårbarheder.