Багато технологічних компаній пропонують програми винагороди за виявлення помилок у своїх продуктах, мотивуючи етичних хакерів знаходити недоліки безпеки та приватно повідомляти про них постачальнику в обмін на грошову винагороду. Microsoft, Apple, Google, Meta та інші розгортають цю ініціативу у досить великих масштабах. Але тепер Apple змінює правила гри, пропонуючи винагороди, більші, ніж будь-яка інша програма.
В оновленні своєї програми Apple Security Bounty компанія з Купертіно оголосила про подвоєння максимальної винагороди до 2 мільйонів доларів, яка зазвичай пропонується за дуже складні атаки найманого типу, що не потребують взаємодії з користувачем.
Однак ця винагорода може зрости до 5 мільйонів доларів, якщо її поєднати з іншими бонусами, такими як обхід режиму блокування. Аналогічно, ви отримаєте бонус у розмірі 1 мільйона доларів за «широкий несанкціонований доступ» до iCloud, оскільки такого ніколи раніше не траплялося.
Крім того, Apple додає більше категорій для винагород, а також «цільові прапорці», які пришвидшать ваші виплати, оскільки вони дозволять швидше оцінювати їх на основі виконання конкретних критеріїв.
Нижче наведено нові винагороди, які набудуть чинності з листопада 2025 року:
| Тип атаки | Поточний максимум | Новий максимум |
|---|---|---|
| Ланцюг нульового кліку: віддалена атака без взаємодії з користувачем | 1 мільйон доларів США | 2 мільйони доларів США |
| Ланцюг одним кліком: віддалена атака з взаємодією з користувачем одним кліком | 250 тис. доларів США | 1 мільйон доларів США |
| Бездротова атака на близькість: атака, що вимагає фізичної близькості до пристрою | 250 тис. доларів США | 1 мільйон доларів США |
| Доступ до фізичного пристрою: атака, що вимагає фізичного доступу до заблокованого пристрою | 250 тис. доларів США | 500 тис. доларів США |
| Вихід із пісочниці програми: атака з пісочниці програми для обходу SPTM | 150 тис. доларів США | 500 тис. доларів США |
Також заплановані інші зміни, такі як винагорода в розмірі 100 000 доларів за обхід macOS Gatekeeper та винагорода в розмірі 1000 доларів за звіти про незначний вплив. З моменту запуску програми Apple Security Bounty у 2020 році технологічний гігант виплатив понад 35 мільйонів доларів понад 800 дослідникам безпеки.
Компанія сподівається, що завдяки вищим виплатам та більшій кількості категорій для поверхонь атак вона зможе заохотити більше хакерів-«білих капелюхів» знаходити недоліки в її продуктах, які вона зможе швидко виправити.