Danny Weber
16:04 10-10-2025
© A. Krivonosov
Apple uppdaterar bug bounty-programmet: toppbelöningar höjs till 5 miljoner dollar för kritiska iOS-sårbarheter, inklusive kringgåenden av Lockdown Mode.
Apple har aviserat en uppdatering av sitt bug bounty-program som drar igång i november och hör till de mest generösa i branschen. Den högsta ersättningen för exploitkedjor med komplexitet i nivå med spyware-attacker fördubblas från 1 miljon till 2 miljoner dollar. För särskilt kritiska sårbarheter – inklusive fel i betamjukvara eller en kringgång av Lockdown Mode i Safari – kan forskare få upp till 5 miljoner dollar.
Ersättningarna för andra angreppsscenarier höjs också kraftigt. En-klicks-exploits ger nu upp till 1 miljon dollar i stället för 250 000. Den högsta belöningen för sårbarheter som kräver fysisk närhet till en enhet stiger till 1 miljon dollar, medan åtkomst till låsta enheter kan ge upp till 500 000 dollar. Dessutom betalar Apple upp till 300 000 dollar för en attackkedja som kombinerar kodkörning i WebContent med en utbrytning ur sandboxen.
Enligt Apples vice vd med ansvar för säkerhet, Ivan Krstić, har företaget de senaste åren betalat ut mer än 35 miljoner dollar till över 800 forskare. Han understryker att riktigt stora utbetalningar är ovanliga, även om Apple vid mer än ett tillfälle har delat ut 500 000 dollar för kritiska buggar.
Företaget framhåller att alla dokumenterade attacker på systemnivå mot iOS i praktiken har kopplats till så kallad legosoldat-spyware, oftast använd av statliga aktörer för riktad övervakning. Nya skydd, däribland Lockdown Mode och Memory Integrity Enforcement, gör sådana angrepp svårare även när motståndarna utvecklar sina metoder. Genom att höja belöningarna sätter Apple fokus där det spelar mest roll: på svagheter som faktiskt kan rubba balansen i säkerheten i vardagen.