Apple megújítja hibavadász programját: rekordjutalmak a kritikus iOS és Safari sebezhetőségekért

Az Apple bejelentette, hogy novembertől megújítja hibavadász programját, amely a szektor egyik legmagasabb jutalmazását kínálja. A vállalat megduplázta a legnagyobb kifizetést azokra az exploit-láncokra, amelyek összetettsége a kémprogramokéhoz mérhető: az eddigi 1 millió dollár helyett mostantól 2 millió dollár a plafon. Különösen kritikus sebezhetőségek esetén — ideértve a béta szoftverek hibáit vagy a Safari Lockdown Mode megkerülését — a kutatók akár 5 millió dollárt is kaphatnak.

Ezzel párhuzamosan más támadási forgatókönyvek díjazása is meredeken nő. Az egykattintásos kihasználásokért a korábbi 250 ezer dollár helyett akár 1 millió dollár járhat. Azoknál a sérülékenységeknél, amelyek kihasználása fizikai közelséget igényel az eszközhöz, a maximum szintén 1 millió dollárra emelkedik, míg a lezárt készülékekhez való hozzáférés akár 500 ezer dollárt érhet. Továbbá az Apple legfeljebb 300 ezer dollárt fizet egy olyan támadási láncért, amely a WebContent folyamatban végrehajtott kódfuttatást sandbox-szökéssel kombinálja.

Az Apple biztonsági alelnöke, Ivan Krstić szerint a cég az utóbbi években több mint 35 millió dollárt fizetett ki több mint 800 kutatónak. Hozzátette, hogy a kiemelkedően nagy kifizetések ritkák, bár kritikus hibákért már többször is 500 ezer dollárt ítéltek oda.

A vállalat hangsúlyozta, hogy az iOS rendszerszintű, dokumentált támadásai a gyakorlatban mind úgynevezett zsoldos kémprogramokhoz köthetők, amelyeket leggyakrabban állami szereplők alkalmaznak célzott megfigyelésre. Az olyan új védelmek, mint a Lockdown Mode és a Memory Integrity Enforcement, megnehezítik ezeket a betöréseket, miközben az ellenfelek is folyamatosan fejlődnek. A jutalmak megemelésével az Apple egyértelműen jelzi, hová szeretné terelni a kutatók figyelmét: azokra a sebezhetőségekre, amelyek valódi környezetben képesek érdemben felborítani a biztonsági egyensúlyt.