Nowe bug bounty Apple: rekordowe nagrody za krytyczne luki i łańcuchy exploitów

Apple zapowiada aktualizację swojego programu bug bounty, która ruszy w listopadzie i oferuje jedne z najwyższych stawek w branży. Firma podwaja maksymalną nagrodę za łańcuchy exploitów porównywalne z atakami szpiegowskimi: z 1 mln do 2 mln dolarów. Za szczególnie krytyczne luki — w tym błędy w wersjach beta oprogramowania czy obejście Lockdown Mode w Safari — badacze mogą otrzymać nawet 5 mln dolarów.

Wyraźnie rosną też wypłaty za inne scenariusze ataku. Exploity one-click kwalifikują się teraz na maksymalnie 1 mln dolarów zamiast 250 tys. Maksymalna nagroda za luki wymagające fizycznej bliskości urządzenia wzrasta do 1 mln dolarów, a uzyskanie dostępu do zablokowanych urządzeń może przynieść do 500 tys. dolarów. Dodatkowo do 300 tys. dolarów przewidziano za łańcuch ataku łączący wykonanie kodu w WebContent z ucieczką z piaskownicy. Skala podwyżek pokazuje, że liczą się luki z realnym wpływem, a nie akademickie ciekawostki.

Jak podaje wiceprezes Apple ds. bezpieczeństwa Ivan Krstić, w ostatnich latach firma wypłaciła ponad 35 mln dolarów ponad 800 badaczom. Zaznacza przy tym, że najwyższe nagrody zdarzają się rzadko, choć Apple więcej niż raz przyznało 500 tys. dolarów za krytyczne błędy. Brzmi to jak zachęta, ale też filtr — nagradzane mają być odkrycia, które naprawdę robią różnicę.

Firma podkreśla, że wszystkie udokumentowane ataki na poziomie systemu w iOS w praktyce wiązano z tzw. najemnym oprogramowaniem szpiegowskim, najczęściej używanym przez instytucje rządowe do ukierunkowanej inwigilacji. Nowe zabezpieczenia, w tym Lockdown Mode i Memory Integrity Enforcement, podnoszą poprzeczkę, nawet jeśli przeciwnicy wciąż się adaptują. Podnosząc stawki, Apple wyraźnie wskazuje, na czym chce skupić uwagę badaczy: na najbardziej brzemiennych w skutkach słabościach, które potrafią przechylić szalę w realnym bezpieczeństwie.