| 10 октября 2025 г. — 5:38 PT
Apple анонсировала то, что она описывает как «серьезную эволюцию» своей программы Apple Security Bounty. Компания заявляет, что в рамках программы уже выплачено более 35 миллионов долларов более чем 800 исследователям безопасности.
Сегодняшнее объявление ознаменовывает «следующую важную главу» для программы, включая удвоение максимальной награды до 2 миллионов долларов за «цепочки эксплойтов, способных достичь целей, аналогичных атакам сложного наемного шпионского ПО».
Apple утверждает, что награда в 2 миллиона долларов является «беспрецедентной суммой в отрасли и самым крупным вознаграждением, предлагаемым любой известной нам программой поиска уязвимостей».
Мы удваиваем нашу максимальную награду до 2 миллионов долларов за цепочки эксплойтов, способных достичь целей, аналогичных атакам сложного наемного шпионского ПО. Это беспрецедентная сумма в отрасли и самое крупное вознаграждение, предлагаемое любой известной нам программой поиска уязвимостей. Кроме того, наша бонусная система, предусматривающая дополнительные вознаграждения за обход режима блокировки (Lockdown Mode) и обнаружение уязвимостей в бета-версиях программного обеспечения, может более чем удвоить это вознаграждение, с максимальной выплатой свыше 5 миллионов долларов. Мы также удваиваем или значительно увеличиваем вознаграждения во многих других категориях, чтобы стимулировать более интенсивные исследования. Это включает 100 000 долларов за полный обход Gatekeeper и 1 миллион долларов за широкий несанкционированный доступ к iCloud, поскольку на сегодняшний день в обеих категориях не было продемонстрировано успешного эксплойта.
Еще одно изменение, на которое указывает Apple, включает расширение категорий для покрытия новых поверхностей атаки:
Наши категории вознаграждений расширяются, охватывая еще больше поверхностей атаки. Примечательно, что мы вознаграждаем эксплойты WebKit с одним кликом, позволяющие выйти из песочницы, суммой до 300 000 долларов, а беспроводные эксплойты ближнего радиуса действия по любым радиоканалам — до 1 миллиона долларов.
Apple также вводит «Target Flags», которые она описывает как «новый способ для исследователей объективно продемонстрировать возможность эксплуатации некоторых наших топовых категорий вознаграждений».
Мы внедряем Target Flags — новый способ для исследователей объективно продемонстрировать возможность эксплуатации некоторых наших топовых категорий вознаграждений, включая выполнение удаленного кода и обход Transparency, Consent, and Control (TCC), а также для определения права на получение конкретной награды. Исследователи, представляющие отчеты с Target Flags, будут иметь право на ускоренные выплаты, которые обрабатываются сразу после получения и проверки исследования, даже до выхода исправления.
Наконец, Apple заявила, что предоставит тысячу устройств iPhone 17 организациям гражданского общества, которые смогут передать эти устройства подверженным риску пользователям, включая «представителей гражданского общества, которые могут стать мишенью для наемного шпионского ПО».
В 2022 году мы сделали беспрецедентный грантовый вклад в размере 10 миллионов долларов в поддержку организаций гражданского общества, расследующих целенаправленные атаки с использованием наемного шпионского ПО. Теперь мы планируем специальную инициативу с участием iPhone 17 с Memory Integrity Enforcement, который, по нашему мнению, является самым значительным обновлением безопасности памяти в истории потребительских операционных систем. Чтобы оперативно предоставить эту революционную, лидирующую в отрасли защиту представителям гражданского общества, которые могут стать мишенью для наемного шпионского ПО, мы предоставим тысячу устройств iPhone 17 организациям гражданского общества, которые смогут передать их подверженным риску пользователям. Эта инициатива отражает нашу неизменную приверженность тому, чтобы наши самые передовые средства защиты достигали тех, кто в них больше всего нуждается.
Apple заявила, что обновления вступят в силу в ноябре 2025 года, когда она также опубликует полный отчет о новых и расширенных категориях, вознаграждениях и бонусах на сайте Apple Security Research.
А пока вы можете ознакомиться с более подробной информацией на сайте Apple Security Research.
Мои любимые аксессуары для iPhone: