Apple повысила максимальную выплату за найденные уязвимости до $2 млн

Компания Apple объявила о рекордном увеличении вознаграждения за обнаружение критических уязвимостей в своей системе безопасности. Теперь максимальная выплата по программе bug bounty составит $2 млн, а с учетом бонусов — до $5 млн.

Об этом сообщил вице-президент Apple по инженерии и архитектуре безопасности Айван Крстич на конференции Hexacon в Париже. По его словам, цель программы — стимулировать специалистов по кибербезопасности искать и сообщать о самых опасных уязвимостях, которые могут использоваться для шпионского ПО.

«Мы готовы платить миллионы долларов, потому что хотим убедиться, что исследователи, обладающие нужными навыками и знаниями, получат достойное вознаграждение за свою работу», — подчеркнул Крстич.

$5 млн за «катастрофическую цепочку эксплойтов»

Новая структура вознаграждений включает бонусы за обход режима Lockdown Mode — специального защитного режима iPhone, предназначенного для пользователей, подвергающихся целевым атакам, — а также за уязвимости, найденные на этапе бета-тестирования программного обеспечения.

Таким образом, максимальная выплата за цепочку эксплойтов, способных привести к масштабной атаке, может достичь $5 млн. Изменения вступят в силу со следующего месяца.

Программа Apple стала одной из самых щедрых в мире

С момента запуска программы почти десять лет назад Apple последовательно увеличивала максимальные выплаты: $200 тыс. в 2016 году и $1 млн в 2019-м. С 2020 года программа стала открытой для всех исследователей, и с тех пор компания выплатила более $35 млн более чем 800 специалистам по кибербезопасности.

Хотя крупные премии выплачиваются редко, Apple подтверждает, что несколько исследователей уже получили по $500 тыс. за найденные уязвимости.

Новые категории угроз и «реальные соревнования»

Apple также расширяет список категорий, по которым можно получить вознаграждение. Теперь в программу включены:

• эксплойты в браузере WebKit,
• уязвимости беспроводных интерфейсов,
• и новая опция Target Flags — система, позволяющая исследователям демонстрировать взлом в формате реального «capture the flag»-соревнования.

Повышение выплат — часть долгосрочной стратегии Apple по защите пользователей от атак на основе уязвимостей памяти. Недавно компания представила функцию Memory Integrity Enforcement в новой линейке iPhone 17, которая блокирует один из самых распространенных типов атак.

Кроме того, Apple объявила о передаче тысячи iPhone 17 правозащитным организациям, работающим с журналистами, активистами и политиками, подвергающимися цифровому преследованию.

«Даже если большинство наших пользователей никогда не станет целью таких атак, мы чувствуем моральную обязанность защищать тех, кто находится в зоне риска», — отметил Крстич.

«Детали», Ю.Л. Фото: Pixabay