Manzana anunciado una actualización de su programa Security Bounty, que aumenta las recompensas financieras para los investigadores de seguridad. Los cambios tienen como objetivo fomentar la investigación avanzada sobre las vulnerabilidades atacadas por software espía mercenario sofisticado que no requiere interacción del usuario. El premio principal del programa se ha duplicado de 1 millón de dólares a 2 millones de dólares por descubrir cadenas de exploits que logran objetivos similares a los de un mercenario sofisticado. software espía ataques que no requieren interacción del usuario. El pago máximo posible puede superar los 5 millones de dólares por identificar vulnerabilidades más críticas, como errores en el software beta o métodos que evitan el modo de bloqueo, una arquitectura de seguridad mejorada en el navegador Safari. Otras categorías de recompensas también experimentaron aumentos. El programa ahora ofrece pagos actualizados para varios tipos de descubrimientos de vulnerabilidades:
- Interacción del usuario con un clic: Las recompensas por cadenas de exploits que requieren un solo clic por parte del usuario aumentaron hasta un máximo de 1 millón de dólares, frente a 250.000 dólares.
- Ataques de proximidad física: La recompensa por ataques que requieran proximidad física a un dispositivo también se elevó a un límite de 1 millón de dólares, un aumento de 250.000 dólares.
- Ataques de acceso físico: Para los ataques que requieren acceso físico a un dispositivo bloqueado, la recompensa máxima se ha duplicado a 500.000 dólares.
- Ejecución de contenido web: Los investigadores que demuestren cómo encadenar la ejecución del código WebContent con un escape sandbox son elegibles para recibir hasta $300,000.
Desde la introducción y expansión del programa, Apple ha otorgado más de 35 millones de dólares a más de 800 investigadores de seguridad, según Ivan Krstić (a través de cableado), vicepresidente de ingeniería y arquitectura de seguridad de la empresa. Si bien los pagos de grandes cantidades de dinero son muy raros, Apple ha realizado múltiples pagos de 500.000 dólares. Apple declaró en su anuncio que los únicos ataques a nivel de sistema iOS observados en la naturaleza provienen de mercenarios. software espíaun tipo de ataque históricamente asociado con actores estatales y típicamente utilizado para atacar a individuos específicos. Las nuevas funciones de seguridad, incluido el modo de bloqueo y la aplicación de la integridad de la memoria, están diseñadas para dificultar dichos ataques al combatir las vulnerabilidades de corrupción de la memoria. Apple espera que la actualización de su programa de recompensas con pagos mayores pueda «fomentar una investigación muy avanzada sobre sus superficies de ataque más críticas a pesar de la mayor dificultad».
