Apple повышает награды до $5 млн за обход Lockdown Mode и поиск уязвимостей в бета-версиях ПО

Apple объявила о масштабном обновлении своей программы вознаграждений за найденные уязвимости Apple Security Bounty, значительно повысив максимальные выплаты для привлечения специалистов по кибербезопасности, способных обнаруживать уязвимости уровня коммерческого шпионского ПО.

С момента запуска программы в 2020 году компания уже выплатила более $35 млн более чем 800 исследователям. Новые условия делают программу одной из самых высокооплачиваемых в отрасли.

Значительное увеличение суммы выплат:

• До $2 млн: за эксплойт-цепи уровня коммерческого шпионского ПО.
• До $5 млн: с учетом бонусов за обход Lockdown Mode и уязвимости в бета-версиях ПО

Новые категории вознаграждений:

• $1 млн: несанкционированный доступ к iCloud
• $1 млн: беспроводные атаки через любые радиочистоты
• $300 000: обход «песочницы» WebKit в один клик
• $100 000: полный обход Gatekeeper в macOS

Apple подчеркивает, что программа поможет усилить защиту устройств, которая включает:

• Lockdown Mode. Экстремальный режим безопасности, минимизирующий векторы атак (блокировка вложений, предпросмотров ссылок, веб-ограничения).
• Усовершенствованная архитектура безопасности Safari.
• Memory Integrity Enforcement. Аппаратная функция в чипах (A19), защищающая от уязвимостей, связанных с повреждением памяти.

Apple заявляет, что благодаря этим мерам единственные системные атаки на iOS исходят от «крайне изощренного заказного шпионского ПО», разработка которого стоит миллионы долларов и которое используется только против «очень небольшого числа целевых лиц».