Apple підвищує максимальну винагороду за знайдений баг до $5 мільйонів

Компанія Apple оновила програму винагород Security Bounty, вдвічі підвищивши максимальний розмір виплат за знайдені вразливості. Тепер багхантери можуть розраховувати на головну нагороду в $2 мільйони, а в окремих випадках — навіть до $5 мільйонів, пише Engadget. 

Щоб отримати $2 мільйони, потрібно знайти «ланцюжки експлойтів, які можуть досягати цілей так само, як складні атаки шпигунського ПЗ», і які не потребують взаємодії з користувачем. Максимально можлива виплата може становити $5 мільйонів за виявлення більш критичних вразливостей, таких як помилки в бета-версії програмного забезпечення та обхід режиму блокування. Режим блокування — це оновлена ​​архітектура безпеки в браузері Safari.

Також Apple заохочує виявлення ланцюжків експлойтів за допомогою взаємодії з користувачем одним клацанням миші. За цей баг виплачують до $1 мільйона, хоча раніше подібні вразливості «коштували» лише $250 000. 

Винагорода за атаки, що вимагають фізичного контакту з пристроєм, тепер також сягають $1 мільйона замість колишніх $250 000. Максимальна винагорода за атаки, що вимагають фізичного доступу до заблокованих пристроїв, була подвоєна до $500 000. 

Нарешті, дослідники, які продемонструють ланцюжок виконання коду WebContent за допомогою виходу з пісочниці, можуть отримати до $300 000. 

Віце-президент Apple з розробки та архітектури безпеки Іван Крстіч розповів Wired, що за історію існування Security Bounty компанія виділила близько $35 мільйонів понад 800 дослідникам у галузі безпеки. Хоча виплати у великих розмірах трапляються дуже рідко, але Apple не так давно здійснила кілька винагород у розмірі $500 000.

В Apple заявили, що єдині атаки на iOS на системному рівні, які компанія спостерігала в реальних умовах, були наслідком шпигунських програм, які пов’язані з державними структурами та зазвичай використовуються для атаки на конкретних осіб. Оскільки зловмисники удосконалюють свої методи, Apple сподівається, що оновлення програми винагород з підвищеними виплатами може «стимулювати високотехнологічні дослідження найважливіших атак, незважаючи на їхню складність».