Apple удваивает вознаграждения за обнаружение уязвимостей и багов

Apple удваивает вознаграждения за обнаружение уязвимостей и багов Apple объявила об изменениях в своей программе вознаграждений за уязвимости и детализировала новые суммы. Об этом сообщает Engadget. Самая высокая базовая выплата удвоена с $1 млн до $2 млн для «zero-click» цепочек эксплойтов, достигающих целей, подобных атаке меркантильного шпионского ПО. В отдельных сценариях общая сумма может достигать свыше $5 млн, если обнаруженный недостаток касается, например, бета-ПО или позволяет обойти усиленный режим защиты Lockdown Mode в Safari. Увеличены и другие категории. По цепочке, требующей один клик пользователя, теперь предусмотрено до $1 млн вместо $250000. За атаки с близкого физического расстояния также можно получить до $1 млн (против предыдущих $250 000). Максимум за уязвимости, требующие физического доступа к заблокированному устройству, вырос до $500 000. Отдельно Apple платит до $300 000 за демонстрацию выполнения кода в компоненте WebContent в связке с выходом из «песочницы». Компания подчеркивает, что системные атаки шпионских инструментов, связанных с государственными структурами. Новые механизмы защиты, в частности Lockdown Mode и Memory Integrity Enforcement, затрудняют эксплуатацию типовых изъянов памяти, однако злоумышленники адаптируются. Поэтому увеличенные выплаты должны стимулировать глубокие исследования самых критических поверхностей атаки, несмотря на рост их сложности. Максимальные чеки случаются редко, но Apple неоднократно вознаграждала находки на $500 000, когда исследователи показывали надежно воспроизводимые цепочки с минимальным следом. Верхнюю границу вознаграждения Apple последний раз просматривала на уровне $1 млн бета-ошибки и обходы защитных режимов формируют один из самых высоких «прайсов» в отрасли. Фокус смещен на сложные многошаговые цепочки, приближенные к инструментам шпионских кампаний, а не на изолированные мелкие изъяны. Компания рассчитывает, что повышенные выплаты ускорят ответственные раскрытия и помогут закрывать критические дыры до того, как их используют реальные атакующие.