Desde o seu lançamento, No programa de recompensas de bugs há quase 10 anos, maçã sempre anunciou pagamentos máximos notáveis -US$ 200.000 2016 e 1 milhão de dólares Agora, a empresa está aumentando a aposta novamente. Na Conferência de Segurança de Ataque Hexacon em Paris na sexta-feira, o vice-presidente de engenharia e arquitetura de segurança da Apple, Ivan Krstić, anunciou novos pagamentos de até US$ 2 milhões para uma série de explorações de software potencialmente exploráveis. spyware.
A mudança reflete o quão valiosas são as vulnerabilidades exploráveis no ambiente móvel altamente protegido da Apple e como a empresa fará de tudo para garantir que tais descobertas não caiam em mãos erradas. Além dos pagamentos individuais, as recompensas por bugs da empresa também incluem uma estrutura de bônus que adiciona recompensas adicionais para explorações que possam contornar a recompensa por bugs. Modo de bloqueio extra seguro Isso inclui aqueles descobertos enquanto o software da Apple ainda estava em teste beta. Tomados em conjunto, o prêmio máximo para uma cadeia de exploração potencialmente devastadora é de US$ 5 milhões. As mudanças entrarão em vigor no próximo mês.
“Estamos fazendo fila aqui para pagar milhões de dólares e há uma razão para isso”, disse Krstic à WIRED. “Queremos ter certeza de que as categorias mais difíceis, os problemas mais difíceis, aqueles que melhor refletem os tipos de ataques que vemos no spyware mercenário, permitem que os pesquisadores que possuem essas habilidades e capacidades e investem esforço e tempo para colher recompensas significativas”.
A Apple afirma que opera mais de 2,35 bilhões de seus dispositivos em todo o mundo. A recompensa por bugs da empresa é Originalmente O programa é apenas para convidados para pesquisadores proeminentes, mas desde que foi aberto ao público em 2020, a Apple afirma ter concedido mais de US$ 35 milhões a mais de 800 pesquisadores de segurança. Os principais pagamentos são extremamente raros, mas Krstic disse que a empresa fez vários pagamentos de US$ 500.000 nos últimos anos.
Além do potencial para recompensas maiores, a Apple está expandindo suas categorias de recompensas de bugs para incluir certos tipos de explorações de infraestrutura de navegador “WebKit” de um clique, bem como explorações de proximidade sem fio realizadas em qualquer tipo de rádio. E há também um novo serviço conhecido como “Target Flag”. Concurso de Hacking Capture a Bandeira Realize testes reais de software da Apple para que os pesquisadores possam demonstrar de forma rápida e confiável a funcionalidade de suas explorações.
A recompensa por bugs da Apple é apenas um dos muitos investimentos de longo prazo que visam reduzir a prevalência de vulnerabilidades perigosas ou impedir a sua exploração. Por exemplo, a empresa anunciou proteções de segurança no mês passado, após mais de cinco anos de trabalho. Nova linha do iPhone 17 que Com o objetivo de desabilitar as classes de bugs do iOS exploradas com mais frequência. Este recurso, conhecido como Memory Integrity Enforcement, é uma mudança significativa que visa proteger um pequeno número dos grupos mais vulneráveis e visados em todo o mundo, como ativistas, jornalistas e políticos, ao mesmo tempo que adiciona proteção para todos os utilizadores de novos dispositivos. Para esse fim, a empresa anunciou na sexta-feira que doará 1.000 iPhones 17 para organizações de direitos humanos que trabalham com populações em risco que enfrentam ataques digitais direcionados.
“Isto parece ser um esforço de grande escala para proteger apenas um pequeno número de utilizadores que são alvo de spyware mercenário, apenas para descobrir que estas tecnologias têm um histórico incontestável de abusos consistentes, conforme descrito por jornalistas, empresas de tecnologia e grupos da sociedade civil”, diz Krstic. “E sentimos uma grande obrigação moral de proteger esses usuários. Apesar do fato de que a grande maioria dos nossos usuários nunca seria alvo de algo assim, este trabalho que fizemos acabará por aumentar a proteção para todos.”
