Apple hat sein Engagement für die Cybersicherheit mit einer historischen Erhöhung seines Prämienprogramms verdoppelt: Ab sofort wird bis zu 2 Millionen Dollar zahlen durch Schwachstellenketten, die Ziele erreichen, die mit Söldner-Spyware-Angriffen vergleichbar sind. Die Ankündigung von Ivan Krstić während der Hexacon-Konferenz in Paris macht dieses Bug-Bounty-Programm zu einem der ehrgeizigsten in der Branche.
Zusätzlich zu dem neuen Höchstbetrag führt das Unternehmen Boni ein, die in bestimmten Fällen kann 5 Millionen Dollar übersteigenDer Schwerpunkt liegt auf Zero-Click-Angriffen und Vektoren mit hoher Auswirkung, im Einklang mit Tools wie Pegasus, und nutzt modernste Abwehrmaßnahmen wie den Sperrmodus und den Schutz der Speicherintegrität – alles innerhalb eines Ökosystems mit über 2.300 Milliarden aktiven Geräten.
Was ändert sich beim Apple Security Bounty?
Das neue Limit ist für Remote-Exploit-Ketten ohne Benutzerinteraktion reserviert, d. h. für die berüchtigten Zero-Click-Angriffe. In diesen Fällen die Belohnung kann 2 Millionen erreichen wenn eine Wirkung nachgewiesen wird, die mit der hochentwickelter Söldner-Spyware-Kampagnen vergleichbar ist.
Apple aktualisiert auch andere Kategorien: Netzwerkangriffe, die einen einzigen Klick erfordern, können bis zu 1 Million erreichen; drahtlose Näherungsangriffe, die über ein beliebiges Funkgerät ausgeführt werden, erreichen ebenfalls bis zu 1 Million; der physische Zugriff auf ein gesperrtes Gerät wird mit bis zu 500.000 US-Dollar belohnt; und Malware-Fälle, die die Sandbox einer App umgehen, ermöglichen Auszahlungen von bis zu 500.000 US-Dollar. In der Praxis priorisiert die Skala One-Click- oder Zero-Click-Exploits und die tatsächlichen Auswirkungen im Vergleich zu theoretischen Schwachstellen.
Es gibt spezifische Erweiterungen: WebKit-Umgebungsziele mit Single-Click-Escape werden hinzugefügt (200.000 US-Dollar), eine erhebliche Erhöhung zur vollständigen Umgehung des Gatekeepers (100.000 US-Dollar) und ein neuer Betrag, der die Umfassender und unbefugter Zugriff auf iCloud mit Zahlungen von bis zu 1 Million US-Dollar. Das Programm umfasst iOS, iPadOS, macOS, watchOS, tvOS und visionOS, sowohl Software- als auch Infrastrukturkomponenten.
Boni werden ebenfalls verstärkt. Das Umgehen des Sperrmodus mit einer gültigen Kette oder das Finden exklusiver Fehler in Software. Die Beta kann in Extremszenarien Multiplikatoren und Boni von insgesamt über 5 Millionen US-Dollar auslösen. Darüber hinaus führt Apple „Target Flags“ ein, einen Mechanismus, um die Ausnutzbarkeit in Schlüsselkategorien schnell und objektiv nachzuweisen und die Zahlungen und Validierungen wenn die Kriterien erfüllt sind.
Gründe, Kalender und Hintergrund
Laut Ivan Krstić ist die Erhöhung der Beträge eine Möglichkeit, anzuerkennen, dass die Suche nach Fehlern in der Plattform immer schwieriger wird und mehr Zeit und Fähigkeiten erfordert. Das Ziel ist, dass diejenigen, die auf die komplexere Szenarien Melden Sie sie lieber verantwortungsbewusst an Apple, bevor sie auf den grauen Markt gelangen.
Apples Bug-Bounty-Programm begann 2016 als reines Einladungsprogramm mit einer maximalen Auszahlung von 200.000 US-Dollar. 2019 wurde die Grenze auf 1 Million US-Dollar angehoben, und seit dem öffentlichen Start im Jahr 2020 behauptet das Unternehmen, 35 über Millionen unter mehr als 800 Forschern, mit mehreren Einzelzahlungen von 500.000 Dollar.
Die Belohnungserhöhung steht im Einklang mit einem breiteren Verteidigungsrahmen: Der Lockdown-Modus (eingeführt im Jahr 2022) und der neue Memory Integrity Protection legen die technische Messlatte höher; tatsächlich sagt Apple, dass es seit seiner Einführung keine Umgehungen des Lockdown-Modus beobachtet hat, räumt jedoch ein, dass Es gibt keine absolute SicherheitParallel dazu veranschaulichen Fälle wie Pegasus und die Klage gegen die NSO Group, warum Zero-Click-Remote-Angriffe Priorität haben.
Die angekündigten Änderungen treten im November in Kraft, wenn Apple die vollständige Liste der neuen Kategorien und der überarbeiteten Beträge veröffentlicht. Um teilzunehmen, müssen Forscher technisch detaillierte Berichte einreichen über security.apple.com/bounty/Das Unternehmen betont, dass die Zahlungen nach eigenem Ermessen und auf Grundlage der Art des Problems, des erreichten Zugriffsniveaus und der Qualität des Berichts.
Das Portal ermöglicht Ihnen die Anzeige und Verfolgung jedes Falles, einschließlich der Bestätigung in den Versionshinweisen, wenn aus dem Bericht ein Fix abgeleitet wird. Gegebenenfalls benachrichtigt Sie das System automatisch über die Auszeichnung und verbessert so die Transparenz und Rückverfolgbarkeit des gesamten verantwortungsvollen Offenlegungsprozesses.
Mit diesem Update möchte Apple wichtige Entdeckungen fördern, seine Reichweite auf mehr Angriffsflächen ausdehnen und die Zusammenarbeit der Forschungsgemeinschaft mit dem Unternehmen fördern. Die Botschaft ist klar: Priorisieren Sie komplette Ketten, belohnen Sie echte Schwierigkeiten und erhöhen Sie den Schutz sowohl für die am stärksten gefährdeten Gruppen als auch für die gesamte Bevölkerung mit dem höchsten Angriffsrisiko. höchste Auszeichnungen in der Branche.
