Apple je na konferenciji Hexacon u Parizu najavio najveće povećanje nagrada u svom programu otkrivanja ranjivosti dosad. Potpredsjednik za sigurnosno inženjerstvo i arhitekturu Ivan Krstić otkrio je da će nova maksimalna isplata iznositi 2 milijuna dolara za lanac propusta koji omogućuje špijunski napad na uređaje.
Za istraživače koji dodatno uspiju zaobići iznimno strogi Lockdown Mode ili prijave ranjivost dok je softver još u beta-fazi predviđeni su posebni bonusi, pa ukupna nagrada za potencijalno katastrofalan niz ranjivosti sada može dosegnuti čak 5 milijuna dolara. Promjene stupaju na snagu idući mjesec.
„We are lining up to pay many millions of dollars here, and there’s a reason”, rekao je Krstić, objasnivši da Apple želi motivirati stručnjake sposobne pronaći najsofisticiranije propuste kakve koriste plaćenički špijunski alati.
Širi program, veći ulozi • 2,35 milijardi aktivnih Appleovih uređaja širom svijeta. • Više od 35 milijuna dolara isplaćenih od otvaranja programa javnosti 2020. godine. • Više od 800 nagrađenih istraživača; nekoliko isplata do 500 000 dolara već je realizirano.
Apple je istodobno proširio kategorije prihvatljivih propusta. Sada u nagradnu shemu ulaze i jednoklikni napadi na WebKit, temeljni mehanizam Safarija, kao i tzv. proximity eksploiti koji koriste bilo koji radio-signal u neposrednoj blizini uređaja. Uvedena je i novost nazvana „Target Flags” koja istraživačima omogućuje da poput natjecanja „capture the flag” brzo i jasno pokažu što njihov napad može učiniti.
Zaštita najugroženijih – korist za sve Apple bug bounty smatra samo jednim od dugoročnih ulaganja u smanjenje opasnih ranjivosti. Nakon pet godina razvoja, u seriji iPhone 17 predstavljen je Memory Integrity Enforcement – funkcija koja cilja najčešće iskorištavanu klasu iOS bugova. Tvrtka će, uz to, donirati 1 000 iPhonea 17 organizacijama koje štite osobe pod visokim rizikom digitalnih napada.
„You can say, well, that seems like a very large effort to protect only that very small number of users that are being targeted by mercenary spyware... And we feel a great moral obligation to defend those users”, poručio je Krstić, naglasivši da dodatna sigurnost za najizloženije u konačnici jača zaštitu svih korisnika.