Apple суттєво оновила свою програму винагород за виявлення вразливостей — Apple Security Bounty, яка діє з 2020 року. За цей час компанія вже виплатила понад $35 млн більш ніж 800 дослідникам у сфері безпеки. У середньому кожен із них отримав приблизно $43 750, але тепер ставки зросли — Apple готова платити значно більше.

Нові правила Apple для мисливців за багами

У своєму блозі Apple описала головні зміни в програмі винагород. Якщо коротко підсумувати, вони зводяться до наступного:

• Подвоєно максимальну винагороду — тепер до $2 млн можна отримати за виявлення ланцюгів експлойтів, які можуть досягати цілей, подібних до атак шпигунського ПЗ найвищого рівня, що використовується найманими хакерами.
• За обхід режиму Lockdown Mode і вразливості у бета-версіях програмного забезпечення передбачено додаткові бонуси. Загальна сума винагороди у таких випадках може сягати до $5 млн.
• $100 тис. доларів — за виявлення повного обходу Gatekeeper, який дозволяє шкідливому коду запускатися на macOS без спрацьовування перевірок безпеки.
• $1 млн — за знайдення способу отримати широкий несанкціонований доступ до iCloud.
• До програми додано категорію one-click WebKit sandbox escapes, тобто вразливості, які дозволяють обійти захист WebKit (рушія Safari) лише одним натисканням — за них обіцяють до $300 тис.
• Ще $1 млн Apple заплатить за виявлення експлойтів бездротової близькості, незалежно від того, який саме радіомодуль використовується.

Як ці зміни впливають на безпеку Apple

Програма винагород суттєво допомогла компанії зміцнити свої системи. Серед помітних досягнень:

• Режим Lockdown Mode, який мінімізує шляхи атаки — блокує вкладення, попередній перегляд посилань і вебскрипти.
• Оновлена архітектура безпеки Safari, що ускладнює експлуатацію помилок у браузері.
• Memory Integrity Enforcement — апаратна функція захисту від пошкодження пам’яті, реалізована у нових чипах, зокрема A19.

Apple зазначає, що після цих удосконалень системні атаки на iOS залишаються можливими лише за допомогою надскладного шпигунського ПЗ, розробка якого коштує мільйони доларів. Такі атаки зазвичай націлені лише на обмежене коло осіб.

Раніше Microsoft заявляла, що виплачуватиме до $20 тис. за знайдені помилки в Defender.

Джерело: wccftech