Apple удваивает награды за уязвимости в iOS до $2 млн

Корпорация Apple объявляет о значительном расширении программы Security Bounty, которая стартует уже в ноябре. Компания предлагает одни из самых высоких вознаграждений в индустрии кибербезопасности.

Максимальный размер выплаты за обнаружение цепочек эксплойтов, способных имитировать сложные шпионские атаки без участия пользователя, увеличен с $1 млн до $2 млн. При этом общая сумма вознаграждения за критические уязвимости, такие как ошибки в бета-версиях ПО или обход Lockdown Mode, может достигать $5 млн.

Также существенно повышены награды за другие типы уязвимостей. За эксплойты, требующие всего одного клика пользователя, теперь платят до $1 млн вместо прежних $250 тыс. Атаки, предполагающие физическую близость к устройству, теперь оцениваются в $1 млн, а за взлом заблокированных устройств с физическим доступом можно получить до $500 тыс.

Отдельно вознаграждаются исследователи, демонстрирующие выполнение кода WebContent с побегом из песочницы — до $300 тыс.

По словам Ивана Крстича, вице-президента Apple по безопасности, за годы существования программы компания выплатила более $35 млн более чем 800 исследователям. Крупные выплаты случаются редко, но Apple уже неоднократно выплачивала по $500 тыс.

В Apple отмечают, что наблюдаемые в реальных условиях атаки на уровне системы iOS обычно связаны с государственными шпионскими программами, нацеленными на конкретных лиц. Новые функции безопасности, такие как Lockdown Mode и защита целостности памяти, усложняют проведение таких атак.

Ожидается, что обновленная программа с увеличенными вознаграждениями стимулирует исследователей к изучению наиболее критичных уязвимостей платформы.