Apple on ilmoittanut Security Bounty -ohjelmansa suuresta uudistamisesta ja kaksinkertaistaa suurimman voiton 2 miljoonaan dollariin tutkijoille, jotka löytävät nollaklikkauksen hyväksikäyttöketjuja. Uusi enimmäismäärä koskee haavoittuvuuksia, jotka voivat vaarantaa laitteen etäältä ilman käyttäjän vuorovaikutusta, mikä vastaa osavaltiotason vastustajien käyttämien palkkasoturien vakoiluohjelmahyökkäyksiä.
Yrityssanoosen laajennettu palkitsemisjärjestelmä tulee virallisesti voimaan marraskuussa 2025, ja se voi ylittää 5 miljoonaa dollaria, kun se sisältää bonukset Lockdown Moden ohituksista ja beta-ohjelmiston virheistä. Apple kuvailee muutosta "suurimpana palkkio-ohjelman tarjoamana voittona" ja osana sen laajempaa pyrkimystä kannustaa vastuullisesti paljastamaan merkittäviä haavoittuvuuksia.
Tämä laajennus tulee, kun Apple jatkaa iOS:n, macOS:n ja muiden alustojensa tietoturvaperustan vahvistamista ominaisuuksien, kuten Lockdown Mode ja Memory Integrity Enforcement, avulla, jotka debytoivat iPhone 17:n ja iPhone 17 Pron A19- ja A19 Pro -siruilla. Näistä toimenpiteistä huolimatta yritys myöntää, että kehittyneet vastustajat sopeutuvat edelleen, mikä vaatii enemmän kannustimia tutkijoille paljastamaan kriittiset puutteet ja raportoimaan niistä ennen kuin niitä voidaan hyödyntää.
AIHEUTTAA:Apple sanoo ei kosketusnäytölliselle MacBookille, tuplaantuu erillisessä iPadissa ja Macissa
Päivitetyn ohjelman puitteissa Apple esittelee Target Flags -järjestelmän, uuden järjestelmän, jonka avulla tutkijat voivat osoittaa tarkalleen, minkä tason käyttöoikeus he saavuttivat hyväksikäytön aikana, kuten mielivaltaisen koodin suorittamisen tai järjestelmän laajuisen luku/kirjoitus. Kun Apple vahvistaa kaapatun lipun, tutkija saa nopeutetun palkinnon odottamatta julkista korjausta, mikä virtaviivaistaa aiemmin kuukausia kestäneen prosessin.
Yritys on myös kerännyt palkintoja useissa avainkategorioissa. Täydellinen Gatekeeper-ohitus macOS:ssä ansaitsee nyt 100 000 dollaria, kun taas WebKit-koodin suorittamisen ketjuttaminen hiekkalaatikon poistoilla voi nousta jopa 300 000 dollariin. Hyökkäykset, joihin liittyy luvaton iCloud-käyttö tai langattoman läheisyyshakkerointi missä tahansa uusimpien laitteiden radioliitännässä, voivat tuottaa miljoona dollaria. Jopa vähävaikutteiset löydöt suurten palkkiokategorioiden ulkopuolella ovat nyt oikeutettuja pienempiin 1 000 dollarin palkintoihin, mikä rohkaisee uusia osallistujia tulemaan kentälle.
Sen jälkeen kun ohjelma avattiin kaikille tutkijoille vuonna 2019, Apple sanoo maksaneensa yli 35 miljoonaa dollaria yli 800 avustajalle, mukaan lukien useita puolen miljoonan dollarin palkintoja. Uuden rakenteen tavoitteena on pitää huippuluokan tietoturvaosaajat keskittyneenä Applen ekosysteemin parantamiseen sen sijaan, että he myyvät hyväksikäyttöjä mustilla markkinoilla, joilla yksityisten välittäjien on tiedetty tarjoavan useiden miljoonien dollarien summia samoista haavoittuvuuksista.