У листопаді Apple оновлює програму виплат дослідникам безпеки: за ланцюжки атак без кліків компанія платитиме до $2 млн, а за окремі надкритичні помилки, зокрема в бета-версіях чи при обході Lockdown Mode, сумарна винагорода може перевищити $5 млн.
У листопаді Apple оновлює програму виплат дослідникам безпеки: за ланцюжки атак без кліків компанія платитиме до $2 млн, а за окремі надкритичні помилки, зокрема в бета-версіях чи при обході Lockdown Mode, сумарна винагорода може перевищити $5 млн.
Як повідомляє Engadget, Apple оголосила про зміни у своїй програмі винагород за уразливості та деталізувала нові суми. Найвищу базову виплату подвоєно з $1 млн до $2 млн для «zero-click» ланцюжків експлойтів, які досягають цілей, подібних до атаки меркантильного шпигунського ПЗ. В окремих сценаріях загальна сума може сягати понад $5 млн, якщо знайдена вада стосується, наприклад, бета-ПЗ або дає змогу обійти посилений режим захисту Lockdown Mode у Safari.
Збільшено й інші категорії. За ланцюжки, що вимагають один клік користувача, тепер передбачено до $1 млн замість $250 000. За атаки з близької фізичної відстані також можна отримати до $1 млн (проти попередніх $250 000). Максимум за уразливості, що потребують фізичного доступу до заблокованого пристрою, зріс до $500 000 Окремо Apple платить до $300 000 за демонстрацію виконання коду в компоненті WebContent у зв’язці з виходом із «пісочниці».
Компанія підкреслює, що системні атаки на iOS, які вона бачила «в полі», походили від шпигунських інструментів, пов’язаних із державними структурами. Нові механізми захисту, зокрема Lockdown Mode і Memory Integrity Enforcement, ускладнюють експлуатацію типових вад пам’яті, однак зловмисники адаптуються. Тому збільшені виплати мають стимулювати глибокі дослідження найкритичніших поверхонь атаки попри зростання їх складності.
За словами віцепрезидента Apple з безпеки Івана Крстича, з моменту запуску та розширення програми компанія вже виплатила понад $35 млн більш як 800 дослідникам. Максимальні чеки трапляються рідко, але Apple неодноразово винагороджувала знахідки на $500 000, коли дослідники показували надійно відтворювані ланцюжки з мінімальним слідом.
Верхню межу винагороди Apple востаннє переглядала на рівні $1 млн для «zero-click» атак, тож нинішнє подвоєння та окремі бонуси за бета-помилки й обходи захисних режимів формують один із найвищих «прайсів» у галузі. Фокус зміщено на складні багатокрокові ланцюжки, що наближені до інструментів шпигунських кампаній, а не на ізольовані дрібні вади. Компанія розраховує, що підвищені виплати пришвидшать відповідальні розкриття й допоможуть закривати критичні діри до того, як їх використають реальні атакувальники.
Раніше dev.ua писав про те, як Apple готує велику хвилю новинок. За даними журналіста Bloomberg Марка Гурмана, компанія наближається до масового виробництва MacBook Air і MacBook Pro на чипах серії M5, а до кінця року планує оновити iPad Pro та вивести на ринок нову версію Vision Pro.
