Firma Apple podwoiła swoje zaangażowanie w cyberbezpieczeństwo, notując historyczne zwiększenie liczby punktów w swoim programie lojalnościowym: od teraz zapłaci do 2 milionów dolarów poprzez łańcuchy luk w zabezpieczeniach, które osiągają cele porównywalne z atakami szpiegującymi najemników. Ogłoszenie, złożone przez Ivana Krsticia podczas konferencji Hexacon w Paryżu, plasuje tę nagrodę za wykrycie błędów wśród najbardziej ambitnych w branży.
Oprócz nowego maksimum firma wprowadza bonusy, które w określonych przypadkach może przekroczyć 5 milionów dolarówNacisk kładziony jest na ataki typu zero-click i wektory o dużym wpływie, zgodnie z narzędziami takimi jak Pegasus, oraz wykorzystuje najnowocześniejsze środki obronne, takie jak tryb blokady i ochrona egzekwowania integralności pamięci, a wszystko to w ekosystemie obejmującym ponad 2.300 miliarda aktywnych urządzeń.
Co się zmienia w programie Apple Security Bounty
Nowy limit jest zarezerwowany dla zdalnych łańcuchów ataków bez interakcji użytkownika, czyli znanych ataków typu zero-click. W takich przypadkach nagroda może wynieść 2 miliony jeśli udowodniony zostanie wpływ porównywalny do tego, jaki wywierają wysoce zaawansowane kampanie szpiegowskie najemników.
Apple aktualizuje również inne kategorie: ataki sieciowe wymagające jednego kliknięcia mogą sięgać nawet miliona; ataki zbliżeniowe, przeprowadzane za pomocą dowolnego radia, również sięgają miliona; fizyczny dostęp do zablokowanego urządzenia jest nagradzany kwotą do 1 1 dolarów; a przypadki złośliwego oprogramowania, które omijają piaskownicę aplikacji, pozwalają na wypłaty do 500.000 500.000 dolarów. W praktyce skala priorytetyzuje exploity wymagające jednego kliknięcia lub zerowego kliknięcia oraz rzeczywisty wpływ w zestawieniu z teoretycznymi zagrożeniami.
Istnieją konkretne rozszerzenia: dodano cele środowiska WebKit z możliwością ucieczki jednym kliknięciem (200 000 USD), znaczną podwyżkę umożliwiającą całkowite ominięcie Gatekeepera (100 000 USD) oraz nową kwotę, która rozpoznaje Szeroki i nieautoryzowany dostęp do iCloud z płatnościami do 1 miliona dolarów. Program obejmuje systemy iOS, iPadOS, macOS, watchOS, tvOS i visionOS, zarówno oprogramowanie, jak i infrastrukturę.
Bonusy są również wzmacniane. Ominięcie trybu blokady za pomocą prawidłowego łańcucha lub znalezienie wyjątkowych wad w oprogramowanie Wersja beta może uruchomić mnożniki i bonusy o łącznej wartości ponad 5 milionów dolarów w ekstremalnych scenariuszach. Dodatkowo Apple wprowadza „Flagi docelowe”, mechanizm szybkiego i obiektywnego wykazywania podatności na wykorzystanie luk w kluczowych kategoriach i przyspieszania płatności i walidacje gdy kryteria są spełnione.
Powody, kalendarz i tło
Według Ivana Krsticia zwiększenie kwot jest sposobem na uznanie, że znajdowanie wad platformy staje się coraz trudniejsze i wymaga więcej czasu i umiejętności. Celem jest zapewnienie dostępu tym, którzy napotykają na bardziej złożone scenariusze wolą zgłosić je odpowiedzialnie do Apple zanim trafią do szarej strefy.
Program nagród za błędy firmy Apple rozpoczął się w 2016 r. jako program dostępny wyłącznie na zaproszenie, z maksymalną wypłatą 200 000 USD; w 2019 r. poprzeczka została podniesiona do 1 miliona USD, a od czasu publicznego uruchomienia w 2020 r. firma twierdzi, że rozdystrybuowała ponad 35 milionów dolarów wśród ponad 800 badaczy, z kilkoma indywidualnymi wypłatami po 500 000 dolarów.
Zwiększenie nagrody jest zgodne z szerszym systemem obronnym: tryb blokady (wprowadzony w 2022 r.) i nowa ochrona integralności pamięci podnoszą poprzeczkę techniczną; w rzeczywistości Apple twierdzi, że od czasu wprowadzenia trybu blokady nie zaobserwowało żadnych przypadków jego obejścia, choć przyznaje, że Nie ma absolutnego bezpieczeństwaRównocześnie sprawy takie jak Pegasus i pozew przeciwko NSO Group pokazują, dlaczego zdalne ataki bez kliknięcia są traktowane priorytetowo.
Zapowiedziane zmiany zaczną obowiązywać w listopadzie, kiedy Apple opublikuje pełną listę nowych kategorii i zaktualizowanych kwot. Aby wziąć udział w programie, badacze muszą przesłać szczegółowe raporty techniczne za pośrednictwem security.apple.com/bounty/Spółka podkreśla, że wysokość płatności ustalana jest według jej uznania na podstawie rodzaju problemu, uzyskanego poziomu dostępu i jakość raportu.
Portal umożliwia przeglądanie i śledzenie każdej sprawy, w tym potwierdzenie w notatkach dotyczących wydania, jeśli na podstawie zgłoszenia zostanie wykryta poprawka. W razie potrzeby system automatycznie powiadomi Cię o przyznaniu pomocy, co usprawni proces. przejrzystość i identyfikowalność całego procesu odpowiedzialnego ujawniania informacji.
Dzięki tej aktualizacji Apple zobowiązuje się do promowania odkryć o dużym znaczeniu, rozszerzania zasięgu na więcej obszarów ataków i utrzymywania współpracy społeczności naukowej z firmą. Przesłanie jest jasne: priorytetowo traktować całe łańcuchy, nagradzać rzeczywiste trudności i zwiększać ochronę zarówno dla najbardziej narażonych grup, jak i dla całej populacji o najwyższym ryzyku ataku. najwyższe nagrody w sektorze.
