Apple povećao nagrade za otkrivanje propusta — istraživači mogu zaraditi i do 5 miliona dolara

Apple povećao nagrade za otkrivanje propusta — do 5 miliona dolara za najteže ranjivosti

 

Apple je značajno proširio svoj Security Bounty program, u kojem istraživači sigurnosti sada mogu zaraditi i do 2 miliona dolara za otkrivanje propusta koji omogućavaju zero-click napade. Sa dodatnim bonusima, ukupna nagrada može dostići čak 5 miliona dolara.

Kompanija želi da motiviše stručnjake da svoje nalaze prijave direktno Appleu, umjesto da ih prodaju na crnom tržištu.

 

Proširene kategorije i veće nagrade

 

Nova struktura nagrada obuhvata više kategorija sigurnosnih ranjivosti:

• Zero-click eksploiti koji ugrožavaju osnovne funkcije sistema: do 2 miliona USD
• Bežični ili blizinski napadi (Bluetooth, NFC, UWB): do 1 milion USD
• One-click eksploiti putem Safarija ili WebKita: do 300.000 USD
• Zaobilaženje macOS Gatekeepera: do 100.000 USD
• Fizički napadi koji omogućavaju pristup korisničkim podacima: do 500.000 USD

Čak i manji propusti, koji ne spadaju u glavne kategorije, sada donose 1.000 dolara, uz zvanično priznanje i CVE broj.

 

Posebni bonusi za Lockdown Mode i beta verzije

 

Kako bi dodatno motivisao istraživače, Apple uvodi bonus sistem za ranjivosti otkrivene u Lockdown modu — posebnom režimu zaštite za novinare, aktiviste i druge korisnike iz rizičnih grupa.

Slični bonusi važe i za propuste otkrivene u beta verzijama iOS-a, macOS-a i drugih Apple platformi, što omogućava istraživačima da ranije prijave sigurnosne probleme.

Kombinacijom osnovnih nagrada i bonusa, ukupni iznos može premašiti 5 miliona dolara, čime Apple postavlja nove standarde u industriji.

 

Novi sistem isplata i brža potvrda prijava

 

Jedna od ključnih novina je uvođenje sistema pod nazivom “Target Flags”, koji omogućava fazičnu potvrdu ranjivosti.

Istraživači sada mogu primati djelimične isplate već tokom procesa validacije, čak i prije nego što Apple objavi zakrpu — što rješava ranije kritike zbog sporih isplata.

Appleov šef bezbjednosti Ivan Krstić izjavio je da je cilj ove revizije da se “vrhunske hakerske vještine iskoriste za jačanje bezbjednosti korisnika, a ne za razvoj špijunskog softvera.”

 

Jačanje sigurnosti u eri zero-click napada

 

Odluka dolazi u trenutku kada su zero-click napadi, poput onih koje je koristila izraelska kompanija NSO Group u sklopu Pegasus kampanja, sve češći širom svijeta.

Od pokretanja programa 2020. godine, Apple je isplatio više od 35 miliona dolara istraživačima širom svijeta — njih preko 800.

Povećanjem maksimalne nagrade na 2 miliona dolara, Apple se sada izjednačio ili nadmašio konkurente poput Googlea i Microsofta, čineći svoj program jednim od najunosnijih i najuglednijih u industriji.