Az Apple rendesen kitömi azokat pénzzel, akik részt vesznek a hibakereső programjukban.
Az Apple novembertől jelentősen kibővíti és megemeli a Security Bounty programjának jutalmait, ezzel iparági szinten is az egyik legmagasabb kifizetési rendszert kínálva az etikus hacker közösség számára. A vállalat célja, hogy még erőteljesebben ösztönözze a fejlett biztonsági kutatásokat, különösen azokat, amelyek a legkritikusabb támadási felületeket vizsgálják.
A program legmagasabb jutalma mostantól 2 millió dollár, amelyet azok a kutatók kaphatnak, akik felhasználói interakció nélkül működő, úgynevezett „exploit chain”-t fedeznek fel – vagyis olyan sebezhetőségek láncolatát, amelyek a zsoldos kémprogramokhoz hasonló támadásokat tesznek lehetővé. Különösen magas, akár 5 millió dolláros kifizetések is elérhetők, ha a felfedezett hibák béta szoftverekben, illetve a Lockdown Mode védelmi funkció megkerülésében játszanak szerepet. A Lockdown Mode az Apple továbbfejlesztett biztonsági architektúrája, amely a Safari böngésző és az iOS rendszer védelmét erősíti.
Megemelt díjak a legtöbb kategóriában
Az Apple szinte minden támadástípus esetében megemelte a jutalmakat:
az egy kattintásos felhasználói interakciót igénylő támadásokért járó díj 250 000 dollárról 1 millió dollárra emelkedett,
a fizikai közelséget igénylő támadások maximális jutalma szintén 1 millió dollár,
a zárolt eszközökhöz fizikai hozzáférést igénylő támadásokért pedig mostantól 500 000 dollár járhat, ami duplája a korábbi összegnek.
Emellett a kutatók, akik WebContent kódvégrehajtást és sandbox-szökést együttesen tudnak demonstrálni, akár 300 000 dolláros jutalmat is kaphatnak.
Több milliós kifizetések, szigorodó biztonság
Ivan Krstić, az Apple biztonsági mérnöki és architektúra részlegének alelnöke a Wired-nek elmondta, hogy a vállalat eddig több mint 35 millió dollárt fizetett ki több mint 800 biztonsági kutatónak a program 2019-es bővítése óta. Bár a legmagasabb kifizetések ritkák, az Apple már több alkalommal is 500 000 dolláros jutalmat ítélt meg.
A cég közölte, hogy az utóbbi időben kizárólag zsoldos kémprogramokhoz köthető, rendszer szintű iOS-támadásokat észlelt, amelyek jellemzően állami szereplők célzott akcióihoz köthetők. Az Apple szerint új védelmi technológiái – például a Lockdown Mode és a Memory Integrity Enforcement, amely a memóriakorrupciós hibák ellen véd – tovább nehezítik az ilyen támadások kivitelezését.
A vállalat ugyanakkor arra számít, hogy a támadók módszerei tovább fejlődnek, ezért a megnövelt jutalmakkal arra ösztönzi a kutatókat, hogy a legnehezebben támadható területeken is folytassák a vizsgálataikat.
