Apple серьёзно усиливает свою защиту и поднимает ставки для исследователей безопасности. Компания обновила программу Apple Security Bounty, и теперь за обнаружение критических уязвимостей, обходов режима защиты и сложных эксплойт-цепочек можно получить до 5 миллионов долларов. Это самый крупный максимум за всю историю существования программы и яркий сигнал того, насколько Apple готова инвестировать в кибербезопасность своих устройств.
Запущенная в 2020 году, программа уже выплатила исследователям более 35 миллионов долларов — вознаграждение получили свыше 800 специалистов по безопасности, средний бонус составил около $43 750. Но теперь Apple удваивает ставки: за обнаружение эксплойтов, сопоставимых по сложности с атаками наёмного шпионского ПО, компания выплатит до 2 миллионов долларов. А если дополнительно выявить обход Lockdown Mode или баги в бета-версии системы, сумма может вырасти до впечатляющих 5 миллионов.
Кроме того, Apple предлагает $100 000 за полный обход системы Gatekeeper в macOS — той самой, что не позволяет запускать непроверенный код. За выявление несанкционированного доступа к iCloud можно получить миллион долларов, и столько же — за уязвимости, позволяющие проводить атаки через беспроводные соединения, используя любые радиопротоколы. Даже “однокликовые WebKit sandbox escapes” теперь приносят до $300 000, ведь Safari и его движок остаются основными целями для злоумышленников.
Программа вознаграждений уже помогла Apple значительно укрепить свои защитные механизмы. Например, появление режима Lockdown Mode — ограничивающего возможные векторы атак путём блокировки вложений, предварительного просмотра ссылок и определённых веб-функций — стало прямым результатом взаимодействия с исследовательским сообществом. Также компания усилила архитектуру безопасности Safari и внедрила аппаратный механизм Memory Integrity Enforcement в чипах серии A19, предотвращающий эксплуатацию ошибок памяти.
Apple подчёркивает, что сегодня атаки на уровне iOS возможны только со стороны крайне дорогостоящего наёмного шпионского ПО, доступного лишь немногим государственным или коммерческим структурам. Но расширяя сотрудничество с независимыми специалистами и предлагая рекордные выплаты, компания фактически делает весь свой экосистемный щит ещё прочнее. Для миллионов пользователей iPhone это означает одно — система становится безопаснее, а награды за обнаруженные дыры теперь впечатляют не меньше, чем сами устройства Apple.