Apple ogłosiło nową, ulepszoną wersję swojego programu Bug Bounty, w którym nagroda za łańcuchy exploitów porównywalne do ataków szpiegowskich wzrosła do 2 mln USD.
Łączne wypłaty z bonusami za obejście Lockdown Mode i luki w wersjach beta mogą przekroczyć 5 mln USD, co Apple nazywa największą nagrodą oferowaną przez jakikolwiek program bug bounty.
Nowy program skupia się na kompletnych łańcuchach exploitów, a nie pojedynczych lukach, co odzwierciedla realne ataki. Nagrody za zdalne wektory ataku znacząco wzrosły, podczas gdy mniej powszechne kategorie otrzymają mniejsze wypłaty.
Apple wprowadza też „Target Flags”, inspirowane grami typu capture-the-flag. Pozwalają one badaczom udowodnić poziom uzyskanego dostępu (np. wykonanie kodu lub arbitralny odczyt/zapis). Po weryfikacji przez Apple nagroda jest wypłacana w najbliższym cyklu płatności, bez oczekiwania na poprawkę systemu.
Nowe kategorie obejmują m.in.:
- One-click WebKit sandbox escapes – do 300 000 USD
- Exploity bezprzewodowe – do 1 mln USD
- Pełne obejście Gatekeeper w macOS – 100 000 USD
Program wchodzi w życie od listopada 2025, a od startu w 2020 Apple wypłaciło ponad 35 mln USD ponad 800 badaczom.
Podobne programy mają inne filmy technologiczne z całego świata, w tym Synology, o czym szerzej posłuchasz w jednym z odcinków mojego podcastu „Bo czemu nie?”.
Jeśli artykuł Apple podwaja nagrodę w programie Bug Bounty do 2 mln USD za ataki na poziomie szpiegowskim nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
