Apple introducerar 2 miljoner dollar i belöning för sårbarheter på spionprogramsnivå

Apple har meddelat en stor omarbetning av sitt bug bounty-program som fördubblar den högsta belöningen till 2 miljoner dollar för exploiteringskedjor som kan matcha sofistikationen hos legosoldatspionprogram. Med bonusar för kringgåenden av Lockdown-läget och sårbarheter som hittas i betaversioner av mjukvara, säger Apple att deras totala utbetalningar kan överstiga 5 miljoner dollar. Företaget hävdar att detta representerar "den största utbetalningen som erbjudits av något bug bounty-program." Programmet lägger nu större vikt vid kompletta exploiteringskedjor snarare än individuella sårbarheter, vilket återspeglar verkligheten att verkliga attacker vanligtvis kedjar samman flera buggar. Belöningarna för fjärråtkomstvektorer har också ökat avsevärt, även om kategorier som inte vanligtvis ses i faktiska attacker kommer att få lägre utbetalningar. Som en del av omarbetningen introducerar Apple "Target Flags", som är inspirerade av capture-the-flag-spel. När en forskare framgångsrikt utnyttjar en sårbarhet kan de fånga en specifik flagga som bevisar exakt vilken nivå av åtkomst de uppnådde, såsom kodexekvering eller godtyckliga läs-/skrivmöjligheter. Dessa flaggor kan verifieras av Apple, så forskare som skickar in rapporter med hjälp av dem kan få meddelande om sin belöning omedelbart efter att Apple har validerat den fångade flaggan. Betalningen utfärdas också i en kommande betalningscykel, vilket innebär att forskare inte behöver vänta tills Apple släpper en mjukvarufix, vilket kan ta månader. Tidigare var forskare ofta tvungna att vänta på att Apple skulle åtgärda en sårbarhet innan de fick betalt. Det uppdaterade programmet träder i kraft från november 2025. Apple utökar också kategorierna för att inkludera en-klick WebKit-sandboxutrymningar värda upp till 300 000 dollar och trådlösa närhetsutnyttjanden över vilken radio som helst värda upp till 1 miljon dollar. En fullständig Gatekeeper-omgång på macOS ger nu 100 000 dollar. Mer information om förändringarna finns på Apples webbplats för säkerhetsforskning. Apple säger att de har betalat ut över 35 miljoner dollar till mer än 800 forskare sedan de lanserade det offentliga programmet 2020. Tagg: Apple Security Denna artikel, "Apple introducerar 2 miljoner dollar i belöning för sårbarheter på spionprogramsnivå" publicerades först på MacRumors.com Diskutera denna artikel i våra forum