Danny Weber
16:06 10-10-2025
© A. Krivonosov
Apple päivittää bug bounty -ohjelmansa: kriittisistä iOS- ja Safari-haavoittuvuuksista maksetaan nyt jopa 5 miljoonaa. Lue, mitä uutta Lockdown Mode tuo.
Apple ilmoitti bug bounty -ohjelmansa päivityksestä, joka käynnistyy marraskuussa ja nostaa palkkiot alalla harvinaisen korkealle tasolle. Yhtiö kaksinkertaistaa enimmäiskorvauksen hyökkäysketjuista, joiden monimutkaisuus vastaa vakoiluohjelmien tasoa: 1 miljoonasta 2 miljoonaan dollariin. Erityisen kriittisistä haavoittuvuuksista—mukaan lukien beetaversioissa löytyvät viat tai Safariin liittyvä Lockdown Mode -suojausten ohitus—tutkijat voivat saada jopa 5 miljoonaa dollaria.
Myös muiden hyökkäysskenaarioiden korvaukset nousevat selvästi. One-click-eksplooitit oikeuttavat nyt enintään 1 miljoonaan dollariin aiemman 250 000 dollarin sijaan. Lähietäisyyden vaativista haavoittuvuuksista maksimipalkkio on jatkossa 1 miljoona dollaria, ja lukittuihin laitteisiin pääsystä voi saada jopa 500 000 dollaria. Lisäksi Apple maksaa enintään 300 000 dollaria hyökkäysketjusta, joka yhdistää koodin suorittamisen WebContent-komponentissa ja sandboxista pakenemisen.
Applen tietoturvasta vastaavan varatoimitusjohtajan Ivan Krstićin mukaan yhtiö on viime vuosina maksanut yli 35 miljoonaa dollaria yli 800 tutkijalle. Hän totesi, että suurimmat korvaukset ovat harvinaisia, vaikka 500 000 dollarin maksuja kriittisistä vioista on myönnetty useammankin kerran.
Yhtiö painotti, että kaikki dokumentoidut iOS:n järjestelmätason hyökkäykset ovat käytännössä linkittyneet niin sanottuun palkkasoturien vakoiluohjelmistoon, jota useimmiten käyttävät hallitukset kohdennettuun seurantaan. Uudet suojaukset, kuten Lockdown Mode ja Memory Integrity Enforcement, vaikeuttavat tällaisia hyökkäyksiä, vaikka vastustajat kehittävät keinojaan jatkuvasti. Korottamalla palkkioita Apple osoittaa, mihin se haluaa tutkimuksen suuntautuvan: kaikkein merkittävimpiin heikkouksiin, jotka voivat aidosti horjuttaa tasapainoa käytännön tietoturvassa.