Apple je u petak najavio značajne izmjene u svom programu nagrađivanja za pronalaženje ranjivosti, uključujući nove kategorije i tzv. Target Flags koji olakšavaju verifikaciju otkrivenih propusta.
Od pokretanja javnog programa 2020. godine, Apple je isplatio više od 35 miliona dolara nagrada za više od 800 bezbjednosnih istraživača. Više hakera je, prema riječima kompanije, zaradilo i do 500.000 dolara za svoj rad.
Tehnološki gigant je nedavno predstavio Memory Integrity Enforcement (MIE) — trajno aktivnu zaštitu memorijske bezbjednosti na iPhone uređajima, osmišljenu da spriječi sofisticirane napade poput onih koje koriste plaćeni špijunski softveri.
Apple smatra da upravo takvi napadi predstavljaju najveću prijetnju korisnicima, pa dodatno jača zaštitu svojih proizvoda protiv visokosofisticiranih prijetnji. To čini angažovanjem ofanzivnih bezbjednosnih stručnjaka izvan kompanije i značajnim povećanjem nagrada za ranjivosti koje bi mogle biti iskorišćene u tzv. exploit chain napadima.
Najveća nagrada za zero-click lanac napada koji omogući udaljeno kompromitovanje uređaja povećana je sa 1 milion na 2 miliona dolara. Apple je pojasnio da je to osnovna suma, ali da istraživači teoretski mogu zaraditi i do 5 miliona dolara ako otkriju dodatne propuste koji zaobilaze Lockdown Mode ili se odnose na beta verzije softvera.
Kompanija je navela da je osvajanje nagrade od 5 miliona izuzetno teško, ali teoretski moguće.
Takođe su značajno povećane nagrade za bijeg iz aplikacionog sandboxa (sa 150.000 na 500.000 dolara), napade koji zahtijevaju fizički pristup zaključanom uređaju (sa 250.000 na 500.000), bežične napade u neposrednoj blizini (sa 250.000 na 1 milion), kao i za udaljene napade koji zahtijevaju jedan klik korisnika (sa 250.000 na 1 milion dolara).
Apple je dodatno najavio da će nagrade za one-click napade kroz web pregledač, koji uspiju da zaobiđu WebKit zaštite i postignu izvršavanje koda sa sandbox bijegom, iznositi do 300.000 dolara. Ako se lanac napada nastavi do izvršavanja nepotpisanog koda sa proizvoljnim privilegijama, nagrada može dostići 1 milion dolara.
Povećane su i nagrade za kategorije u kojima još nisu demonstrirani stvarni napadi — kao što su zaobilaženje Gatekeeper zaštite na macOS-u (100.000 dolara) i neovlašćeni pristup iCloud nalozima (1 milion dolara).
Nove isplate stupaju na snagu u novembru 2025. godine.
Apple je istog dana predstavio i novi koncept Target Flags, inspirisan capture-the-flag (CTF) takmičenjima. Ove “zastavice” omogućavaju istraživačima da objektivno dokažu nivo pristupa koji su postigli i time odmah znaju koliku nagradu mogu očekivati.
“Kada istraživači demonstriraju bezbjednosne propuste pomoću Target Flags, konkretna zastavica koju osvoje objektivno pokazuje postignuti nivo mogućnosti — na primjer, kontrolu registra, proizvoljno čitanje/pisanje ili izvršavanje koda — i direktno određuje visinu nagrade, čineći proces dodjele transparentnijim nego ikad”, objašnjava Apple.
“Pošto se Target Flags mogu programski verifikovati tokom prijave, istraživači će odmah po potvrdi dobijati obavještenje o iznosu nagrade”, dodaje kompanija.
Target Flags su dostupne na iOS, iPadOS, macOS, visionOS, watchOS i tvOS platformama.
Apple je takođe istakao da će izuzetna istraživanja i dalje dobijati bonuse, a čak i ranjivosti manjeg uticaja mogu biti nagrađene sa 1.000 dolara kako bi se istraživači podstakli da nastave prijavljivati propuste.
Izvor: SecurityWeek
