Apple oppdaterer bug bounty-programmet med bransjens høyeste belønninger: toppsummen dobles, og kritiske iOS/Safari-funn kan gi opptil 5 millioner dollar.
© A. Krivonosov
Apple varsler en oppdatering av sitt bug bounty-program som rulles ut i november og byr på noen av bransjens høyeste utbetalinger. Summene sier sitt: Selskapet dobler toppsummen for utnyttelseskjeder på nivå med spionvareangrep, fra 1 million til 2 millioner dollar. For spesielt kritiske sårbarheter — inkludert feil i betaprogramvare eller en omgåelse av Lockdown Mode i Safari — kan forskere få opptil 5 millioner dollar.
Utbetalingene øker kraftig også i andre angrepsscenarier. Ett-klikk-utnyttelser kvalifiserer nå for opptil 1 million dollar, opp fra 250 000. Maksbelønningen for sårbarheter som krever fysisk nærhet til en enhet blir 1 million dollar, mens tilgang til låste enheter kan gi opptil 500 000 dollar. I tillegg vil Apple betale opptil 300 000 dollar for en kjede som kombinerer kodekjøring i WebContent med en sandkasseflukt.
Ifølge Apples visepresident for sikkerhet, Ivan Krstić, har selskapet utbetalt mer enn 35 millioner dollar til over 800 forskere de siste årene. Han la til at de største utbetalingene er uvanlige, selv om Apple ved flere anledninger har betalt 500 000 dollar for kritiske feil. Tallene antyder hvor høyt terskelen ligger for å nå helt til topps.
Selskapet understreket at alle dokumenterte angrep på systemnivå i iOS i praksis har vært knyttet til såkalt leiesoldat-spionvare, oftest brukt av myndigheter til målrettet overvåking. Nye beskyttelser, som Lockdown Mode og Memory Integrity Enforcement, gjør slike angrep vanskeligere selv om motstanderne utvikler seg. Ved å løfte belønningene signaliserer Apple samtidig hvor forskernes innsats trengs mest: mot de mest konsekvensladede svakhetene som faktisk kan vippe balansen i sikkerheten.