Apple подвоює винагороди за виявлення вразливостей і багів

Apple подвоює винагороди за виявлення вразливостей і багів Apple оголосила про зміни у своїй програмі винагород за уразливості та деталізувала нові суми. Про це повідомляє Engadget.Найвищу базову виплату подвоєно з $1 млн до $2 млн для «zero-click» ланцюжків експлойтів, які досягають цілей, подібних до атаки меркантильного шпигунського ПЗ. В окремих сценаріях загальна сума може сягати понад $5 млн, якщо знайдена вада стосується, наприклад, бета-ПЗ або дає змогу обійти посилений режим захисту Lockdown Mode у Safari.Збільшено й інші категорії. За ланцюжки, що вимагають один клік користувача, тепер передбачено до $1 млн замість $250 000. За атаки з близької фізичної відстані також можна отримати до $1 млн (проти попередніх $250 000). Максимум за уразливості, що потребують фізичного доступу до заблокованого пристрою, зріс до $500 000. Окремо Apple платить до $300 000 за демонстрацію виконання коду в компоненті WebContent у зв’язці з виходом із «пісочниці».Компанія підкреслює, що системні атаки на iOS, які вона бачила «в полі», походили від шпигунських інструментів, пов’язаних із державними структурами. Нові механізми захисту, зокрема Lockdown Mode і Memory Integrity Enforcement, ускладнюють експлуатацію типових вад пам’яті, однак зловмисники адаптуються. Тому збільшені виплати мають стимулювати глибокі дослідження найкритичніших поверхонь атаки попри зростання їх складності.За словами віцепрезидента Apple з безпеки Івана Крстича, з моменту запуску та розширення програми компанія вже виплатила понад $35 млн більш як 800 дослідникам. Максимальні чеки трапляються рідко, але Apple неодноразово винагороджувала знахідки на $500 000, коли дослідники показували надійно відтворювані ланцюжки з мінімальним слідом.Верхню межу винагороди Apple востаннє переглядала на рівні $1 млн для «zero-click» атак, тож нинішнє подвоєння та окремі бонуси за бета-помилки й обходи захисних режимів формують один із найвищих «прайсів» у галузі. Фокус зміщено на складні багатокрокові ланцюжки, що наближені до інструментів шпигунських кампаній, а не на ізольовані дрібні вади.Компанія розраховує, що підвищені виплати пришвидшать відповідальні розкриття й допоможуть закривати критичні діри до того, як їх використають реальні атакувальники.