Az Apple bejelentette Security Bounty programjának alapos átalakítását, megduplázva 2 millió dollárra a legnagyobb kifizetést azoknak a kutatóknak, akik felfedezik a nulla kattintásos kihasználási láncokat. Az új maximum azokra a sebezhetőségekre vonatkozik, amelyek távolról, felhasználói beavatkozás nélkül képesek feltörni egy eszközt, megfelelve az állami szintű ellenfelek által használt zsoldos spyware támadások kifinomultságának.
A cégmondjakibővített jutalmazási rendszere hivatalosan 2025 novemberében lép életbe, és meghaladhatja az 5 millió dollárt, ha a Lockdown Mode megkerüléseiért és a béta szoftverekben talált hibákért bónuszokat is tartalmaz. Az Apple úgy írja le a változást, mint „a jutalomprogram által kínált legnagyobb kifizetést”, és a nagy hatást kiváltó sérülékenységek felelősségteljes felfedésére irányuló szélesebb körű erőfeszítésének része.
Ez a bővítés annak köszönhető, hogy az Apple továbbra is erősíti az iOS, a macOS és más platformjai biztonsági alapjait olyan funkciók révén, mint a Lockdown Mode és a Memory Integrity Enforcement, amelyek az iPhone 17 és iPhone 17 Pro A19 és A19 Pro chipjein debütáltak. Ezen intézkedések ellenére a vállalat elismeri, hogy a kifinomult ellenfelek továbbra is alkalmazkodnak, és nagyobb ösztönzésre van szükség a kutatók számára, hogy feltárják és jelentsék a kritikus hibákat, mielőtt kihasználhatnák azokat.
ÖSSZEFÜGGŐ:Az Apple nemet mond az érintőképernyős MacBookra, különálló iPaden és Macen duplázódik
A frissített program keretében az Apple bevezeti a Target Flags rendszert, amely lehetővé teszi a kutatók számára, hogy pontosan bemutassák, milyen szintű hozzáférést értek el egy exploit során, például tetszőleges kódvégrehajtás vagy a rendszerszintű olvasás/írás. Amint az Apple ellenőrzi a rögzített zászlót, a kutató gyorsított díjat kap anélkül, hogy nyilvános javításra várna, és ezzel leegyszerűsíti a korábban hónapokig tartó folyamatot.
A cég több kulcskategóriában is osztott jutalmat. A teljes Gatekeeper bypass macOS-en most 100 000 dollárt fog keresni, míg a WebKit kódvégrehajtás sandbox escape-eléssel történő láncolása akár 300 000 dollárt is elérhet. A jogosulatlan iCloud-hozzáféréssel vagy vezeték nélküli közelség-feltörésekkel kapcsolatos kihasználások a legújabb eszközök bármely rádiós interfészén keresztül 1 millió dollár bevételt eredményezhetnek. Még a főbb jutalomkategóriákon kívüli, csekély hatású eredmények is jogosultak lesznek kisebb, 1000 dolláros jutalomra, ami új résztvevőket ösztönöz a pályára.
A program 2019-es megnyitása óta az Apple azt állítja, hogy több mint 35 millió dollárt fizetett több mint 800 közreműködőnek, köztük több félmillió dolláros díjat. Az új struktúra célja, hogy a csúcsbiztonsági tehetségek az Apple ökoszisztémájának fejlesztésére összpontosítsanak, ahelyett, hogy a feketepiacon értékesítenék a kihasználásokat, ahol a magánbrókerek több millió dolláros összegeket kínálnak ugyanazért a sebezhetőségért.