Jabłko ogłoszony aktualizację programu Security Bounty, zwiększającą nagrody finansowe dla badaczy bezpieczeństwa. Zmiany mają na celu zachęcenie do zaawansowanych badań nad lukami w zabezpieczeniach wyrafinowanego najemnego oprogramowania szpiegującego, które nie wymaga interakcji użytkownika. Główna nagroda programu została podwojona z 1 miliona dolarów do 2 milionów dolarów za odkrycie łańcuchów exploitów osiągających cele podobne do wyrafinowanych ataków najemnego oprogramowania szpiegującego, które nie wymagają interakcji ze strony użytkownika. Maksymalna możliwa wypłata może przekroczyć 5 milionów dolarów za wykrycie bardziej krytycznych luk w zabezpieczeniach, takich jak błędy w oprogramowaniu w wersji beta lub metody omijające tryb blokady, czyli ulepszoną architekturę zabezpieczeń w przeglądarce Safari. Inne kategorie nagród również odnotowały wzrosty. Program oferuje teraz zaktualizowane wypłaty za kilka rodzajów wykrycia luk w zabezpieczeniach:
- Interakcja z użytkownikiem jednym kliknięciem: Nagrody za łańcuchy exploitów wymagające jednego kliknięcia od użytkownika wzrosły z 250 000 dolarów do maksymalnie 1 miliona dolarów.
- Fizyczne ataki zbliżeniowe: Nagroda za ataki wymagające fizycznej bliskości urządzenia również została podniesiona do pułapu 1 miliona dolarów, co oznacza wzrost z 250 000 dolarów.
- Ataki z dostępem fizycznym: W przypadku ataków wymagających fizycznego dostępu do zablokowanego urządzenia maksymalna nagroda została podwojona do 500 000 dolarów.
- Wykonanie treści internetowych: Badacze, którzy zademonstrują połączenie wykonania kodu WebContent z ucieczką z piaskownicy, kwalifikują się do otrzymania do 300 000 dolarów.
Według Ivana Krsticia (za pośrednictwem Przewodowy), wiceprezes firmy ds. inżynierii i architektury bezpieczeństwa. Chociaż najwyższe wypłaty są bardzo rzadkie, Apple dokonał wielu wypłat w wysokości 500 000 dolarów. Firma Apple oświadczyła w swoim ogłoszeniu, że jedyne zaobserwowane na wolności ataki na system iOS pochodzą od najemników oprogramowanie szpiegowskierodzaj ataku historycznie kojarzony z podmiotami państwowymi i zwykle stosowany przeciwko konkretnym osobom. Nowe funkcje zabezpieczeń, w tym tryb blokady i egzekwowanie integralności pamięci, mają na celu utrudnienie takich ataków poprzez zwalczanie luk w zabezpieczeniach powodujących uszkodzenie pamięci. Apple ma nadzieję, że aktualizacja programu nagród o większe wypłaty może „zachęcić do wysoce zaawansowanych badań nad jego najbardziej krytycznymi powierzchniami ataku pomimo zwiększonego poziomu trudności”.
