Apple har oppdatert sitt sikkerhetsprogram og tilbyr nå opptil 2 000 000 dollar for zero-click-utnyttelser som muliggjør ekstern kjøring av kode (RCE). Selskapet finansierer høyere belønninger for de mest alvorlige sårbarhetene. Målet er å styre ledende sikkerhetsforskere mot ansvarlig rapportering fremfor salg på grå markeder.
Høyere grunnbelønninger og kombinerte bonuser
Apple har økt grunnbelønningene for flere typer utnyttelser. Ett-klikk-RCE og enkelte trådløse nærhetsangrep er nå verdsatt til 1 000 000 dollar. Selskapet har også økt belønningene for iCloud-kompromittering og kjeder som gir privilegieeskalering.
Når forskere oppfyller flere kriterier, kan Apple kombinere bonuser – noe som kan øke utbetalingene til over 5 000 000 dollar for ett enkelt funn.
Hvorfor Apple fokuserer på zero-click-RCE
Zero-click-utnyttelser lar angripere kjøre kode uten noen form for brukerhandling. De kan kompromittere enheter helt lydløst. På grunn av denne risikoen har Apple valgt å prioritere slike feil. Den høyere belønningen gir sterkere insentiver for forskere til å rapportere funn i stedet for å utnytte dem.
Nye forsvarsprogrammer og støtte til utsatte brukere
Apple kombinerer den økte belønningen med nye sikkerhetsinitiativer. Selskapet planlegger å donere sikre enheter til organisasjoner i sivilsamfunnet som er utsatt for avansert spionvare.
Apple viderefører også programmer som Lockdown Mode og forbedret minneintegritetsbeskyttelse. Disse verktøyene gjør det vanskeligere for angripere å lykkes og reduserer risikoen for skjulte innbrudd.
Tilgang til forskningsenheter og tidsrammer
Apple har åpnet søknadsvinduet for sitt Security Research Device-program. Gjennom dette inviteres godkjente forskere til å be om spesialtilpasset maskinvare for å undersøke komplekse feil. Deltakerne får kontrollert tilgang til diagnostiske funksjoner som hjelper med å finne dypliggende problemer.
Apple håper at dette kontrollerte miljøet vil bidra til å avdekke alvorlige sårbarheter raskere.
Hva bug bounty-programmet betyr for forsvarere og forskere
Sikkerhetsteam kan nå forvente flere koordinerte rapporter fra toppforskere. Organisasjoner som utvikler forsvarsverktøy, kan bruke disse rapportene til å rulle ut sikkerhetsoppdateringer raskere.
Forskere får tydeligere regler og større økonomiske insentiver. De som tidligere solgte zero-click-utnyttelser på grå markeder, kan nå se rapportering som en mer lønnsom og etisk løsning.
Konklusjon
Økningen i Apple zero-click vulnerabilities bounty markerer et tydelig skifte. Apple verdsetter nå exploit-forskning på et langt høyere nivå. Kombinasjonen av større utbetalinger, styrkede forsvarsprogrammer og forskningsenhetstilgang kan redusere antallet avanserte utnyttelser som forblir uoppdaget.
For cybersikkerhetsforsvarere gir endringen en bedre mulighet til å tette kritiske hull før angripere rekker å utnytte dem.


0 responses to “Apple øker belønningen for zero-click-sårbarheter til 2 millioner dollar”