Apple збільшує максимальну винагороду за знаходження вразливостей

Apple повідомила про масштабне оновлення своєї програми винагород за знайдені уразливості. Відтепер дослідники безпеки можуть отримати до $2 мільйонів за виявлення складних ланцюгів експлойтів, подібних до тих, що використовуються у шпигунському програмному забезпеченні найвищого рівня, яке не потребує взаємодії користувача. За особливо критичні помилки у бета-версіях програмного забезпечення або способи обходу Lockdown Mode — компанія може виплатити понад $5 мільйонів.

Основні зміни у програмі Apple Security Bounty

Apple підкреслює, що нові суми винагороди відповідають складності сучасних кіберзагроз. Оновлена програма почне діяти в листопаді 2025 року.

Серед ключових оновлень:

• До $2 млн — за виявлення експлойтів без участі користувача, що імітують атаки шпигунського ПЗ.
• До $1 млн — за вразливості, що потребують лише одного кліку користувача (раніше максимум становив $250 тис).
• До $1 млн — за атаки, які потребують фізичної близькості до пристрою (також підвищено з $250 тис).
• До $500 тис — за атаки, що вимагають фізичного доступу до заблокованого пристрою (подвоєно попередній максимум).
• До $300 тис — за успішне поєднання виконання WebContent-коду з обходом пісочниці (sandbox escape).

Підтримка дослідників і боротьба зі шпигунськими атаками

За словами Івана Крстича, віцепрезидента Apple з питань архітектури та інженерії безпеки, компанія вже виплатила понад $35 мільйонів більш ніж 800 дослідникам з моменту запуску програми. Хоча найбільші виплати трапляються рідко, Apple неодноразово здійснювала винагороди по $500 тис.

Apple наголошує, що єдині атаки рівня системи iOS, які компанія спостерігала в реальному середовищі, походили від найманих шпигунських груп, часто пов’язаних із державними структурами. Такі атаки зазвичай спрямовані на конкретних осіб, а не на масових користувачів.