Apple te premiează și mai mult acum dacă găsești vulnerabilități critice ale softului

Apple a luat recent decizia de a majora recompense pentru cei care descoperă vulnerabilități ale sistemelor lor de operare. Înainte, premiul era de 1 milion de dolari, acum… .

Concret, Apple a anunțat recent că va crește semnificativ premiul pentru cei care identifică vulnerabilități majore în produsele sale. Astfel, valoarea ,,bug-bounty-ului” s-a dublat, iar acum Apple oferă 2 milioane de dolari. Motivul din spatele acestei decizii este că Apple consideră suma de 2 milioane de dolari mai competitivă decât ce au de oferit cei rău intenționați.

Compania plănuiește să implementeze această modificare în programul său de Security Bounty începând cu luna noiembrie 2025. Noua schemă va include recompense majore pentru vulnerabilități tip „zero-click”, precum și pentru exploituri care pot fi executate atunci când dispozitivul este foarte aproape de sursa ce îi poate dăuna. Apple vrea astfel să descurajeze vânzarea ilegală a vulnerabilităților: companii sau state care investesc sume mari în spyware sau backdoor-uri vor trebui să ofere mai mult decât Apple pentru a angaja cercetători să facă publice aceste exploatări. De aceea, compania oferă bonusuri adiționale pentru găsirea vulnerabilităților care ocolesc Lockdown Mode sau sistemul Gatekeeper din macOS.

Decizia vine pe fondul lansării recente a iPhone 17, care include noi protecții de memorie și o funcție de Memory Integrity Enforcement, menite să întărească securitatea internă și să reducă vulnerabilitățile exploatabile.

Programul de bug bounty al Apple a fost lansat în 2016 și a fost extins treptat pentru a acoperi toate platformele companiei, iOS, macOS, watchOS și tvOS. De la lansarea programului și până în prezent, Apple a acordat 35 de milioane de dolari către 800 de oameni care au descoperit vulnerabilități ale softului companiei. În plus față de premiul maxim, există și recompense mai mici pentru vulnerabilități de severitate medie sau pentru descoperiri legate de confidențialitate și protecția datelor. De menționat este însă că nu orice vulnerabilitate identificată va primi recompense. Acestea trebuie să bifeze un minim de vulnerabilitate sau de impact asupra dispozitivelor.