Apple повідомила про масштабне оновлення своєї програми винагород за знайдені уразливості. Відтепер дослідники безпеки можуть отримати до $2 мільйонів за виявлення складних ланцюгів експлойтів, подібних до тих, що використовуються у шпигунському програмному забезпеченні найвищого рівня, яке не потребує взаємодії користувача. За особливо критичні помилки у бета-версіях програмного забезпечення або способи обходу Lockdown Mode — компанія може виплатити понад $5 мільйонів.
Основні зміни у програмі Apple Security Bounty
Apple підкреслює, що нові суми винагороди відповідають складності сучасних кіберзагроз. Оновлена програма почне діяти в листопаді 2025 року.
Серед ключових оновлень:
- До $2 млн — за виявлення експлойтів без участі користувача, що імітують атаки шпигунського ПЗ.
- До $1 млн — за вразливості, що потребують лише одного кліку користувача (раніше максимум становив $250 тис).
- До $1 млн — за атаки, які потребують фізичної близькості до пристрою (також підвищено з $250 тис).
- До $500 тис — за атаки, що вимагають фізичного доступу до заблокованого пристрою (подвоєно попередній максимум).
- До $300 тис — за успішне поєднання виконання WebContent-коду з обходом пісочниці (sandbox escape).
Підтримка дослідників і боротьба зі шпигунськими атаками
За словами Івана Крстича, віцепрезидента Apple з питань архітектури та інженерії безпеки, компанія вже виплатила понад $35 мільйонів більш ніж 800 дослідникам з моменту запуску програми. Хоча найбільші виплати трапляються рідко, Apple неодноразово здійснювала винагороди по $500 тис.
Apple наголошує, що єдині атаки рівня системи iOS, які компанія спостерігала в реальному середовищі, походили від найманих шпигунських груп, часто пов’язаних із державними структурами. Такі атаки зазвичай спрямовані на конкретних осіб, а не на масових користувачів.
