Apple анонсировала программу выкупа до 2 млн долларов за эксплойты уровня шпионского ПО
Apple объявила о масштабном пересмотре своей программы выкупа за найденные уязвимости, удвоив максимальное вознаграждение до 2 миллионов долларов за цепочки эксплойтов, способные сравниться по сложности с атаками с использованием коммерческого шпионского ПО.
С учетом бонусов за обход режима блокировки (Lockdown Mode) и уязвимостей, обнаруженных в бета-версиях ПО, Apple заявляет, что общая сумма выплат может превысить 5 миллионов долларов. Компания утверждает, что это «самое крупное вознаграждение, предлагаемое любой программой выкупа».
Программа теперь уделяет больше внимания полным цепочкам эксплойтов, а не отдельным уязвимостям, отражая реальность, согласно которой реальные атаки обычно используют несколько уязвимостей в совокупности. Вознаграждения за векторы удаленного доступа также были существенно увеличены, хотя категории, редко встречающиеся в реальных атаках, будут получать более низкие выплаты.
В рамках пересмотра Apple вводит «Target Flags» (Целевые флаги), вдохновленные играми «захват флага». Когда исследователь успешно использует уязвимость, он может захватить определенный флаг, который доказывает, какой именно уровень доступа был достигнут, например, выполнение кода или произвольные возможности чтения/записи.
Эти флаги могут быть проверены Apple, поэтому исследователи, отправляющие отчеты с их использованием, могут получить уведомление о присуждении вознаграждения сразу после того, как Apple проверит захваченный флаг. Выплата также производится в ближайшем платежном цикле, что означает, что исследователям не придется ждать, пока Apple выпустит исправление для программного обеспечения, что может занять месяцы. Ранее исследователям часто приходилось ждать, пока Apple устранит уязвимость, прежде чем получить выплату.
Обновленная программа вступает в силу с ноября 2025 года. Apple также расширяет категории, включая обход песочницы WebKit одним кликом стоимостью до 300 000 долларов и эксплойты беспроводного доступа через любое радио стоимостью до 1 миллиона долларов. Полный обход Gatekeeper на macOS теперь приносит 100 000 долларов.
Более подробную информацию об изменениях можно найти на веб-сайте Apple по исследованиям безопасности. Apple заявляет, что с момента запуска публичной программы в 2020 году выплатила более 35 миллионов долларов более чем 800 исследователям.
