Apple значно оновила програму винагород за виявлення вразливостей Apple Security Bounty (запущена у 2020 році), про це повідомили в ITC.
До сьогодні компанія виплатила понад $35 млн більш ніж 800 дослідникам із безпеки — у середньому близько $43 750 на людину — та тепер підвищує ставки.
Ключові зміни в програмі:
- Максимальну винагороду подвоєно до $2 млн за ланцюги експлойтів, що дають можливості, порівнянні з найпотужнішим шпигунським ПЗ, яке використовують наймані хакери.
- За обхід Lockdown Mode і за вразливості в бета-версіях ПЗ передбачені додаткові бонуси — у сумі винагорода в окремих випадках може сягати $5 млн.
- $100 тис. — за повний обхід Gatekeeper, що дозволяє запускати шкідливий код на macOS без перевірок.
- $1 млн — за спосіб отримати широкий несанкціонований доступ до iCloud.
- До програми додано категорію one-click WebKit sandbox escapes (обхід захисту WebKit одним кліком) — винагорода до $300 тис.
- Ще $1 млн — за експлойти бездротової близькості, незалежно від конкретного радіомодуля.
Як це впливає на безпеку Apple
Програма допомогла зміцнити системи — зокрема, впровадили Lockdown Mode (обмежує вкладення, попередній перегляд посилань і вебскрипти), оновили архітектуру безпеки Safari та реалізували Memory Integrity Enforcement в нових чипах (наприклад, A19).
Apple вказує, що з урахуванням цих поліпшень системні атаки на iOS тепер можливі переважно за допомогою надскладного шпигунського ПЗ, розробка якого коштує мільйони і зазвичай націлена на дуже обмежену групу людей.
Нагадаємо, перший музичний телеканал MTV припиняє своє мовлення.








