Kompanija Apple je značajno povećala iznose koje je spremna da plati istraživačima bezbednosti u okviru svog bug bounty programa. Na bezbednosnoj konferenciji Hexacon u Parizu, potpredsednik Apple-a Ivan Krstić najavio je da će maksimalna nagrada za lanac ranjivosti koje omogućavaju špijunski softver od sada iznositi do 2 miliona dolara, uz mogućnost dodatnih bonusa koji podižu ukupnu sumu na čak 5 miliona dolara.
Milionske nagrade za najteže bezbednosne propuste
Apple želi da motiviše istraživače da fokusiraju svoju pažnju na najkompleksnije i najopasnije ranjivosti koje mogu biti iskorišćene u napadima sličnim onima koje koriste komercijalni špijunski softveri.
„Želimo da oni koji poseduju te veštine i ulože napor i vreme budu i adekvatno nagrađeni“, rekao je Krstić u razgovoru za WIRED.
Bonus struktura uključuje dodatne nagrade za bagove koji mogu da zaobiđu Apple-ov Lockdown Mode (režim povećane zaštite), kao i za one koji se otkriju dok je softver još u beta verziji. Ove izmene stupaju na snagu sledećeg meseca.
Bug bounty program kao strateški alat
Apple-ov bug bounty program postoji od 2016. godine, ali je tek 2020. postao otvoren za sve istraživače. Do sada je više od 800 stručnjaka dobilo ukupno preko 35 miliona dolara od kompanije, a u poslednjih nekoliko godina isplaćeno je i više nagrada u iznosu od 500.000 dolara.
S obzirom na to da je više od 2.35 milijardi Apple uređaja trenutno aktivno širom sveta, ovakvi programi postaju ključni deo zaštite korisnika i infrastrukture.
Nove kategorije ranjivosti i realni testovi
Pored povećanja nagrada, Apple je proširio i opseg ranjivosti koje dolaze u obzir za isplatu. Uključeni su:
- “One-click” WebKit propusti koji pogađaju Safari
- Eksploatacije u blizini uređaja putem bilo koje vrste radio-signala
- Novi sistem pod nazivom “Target Flags”, koji funkcioniše poput “capture the flag” takmičenja, omogućava istraživačima da demonstriraju ranjivosti na praktičan način
Odbrana protiv špijunskog softvera i zaštita najugroženijih korisnika
Nedavno je iPhone 17 serija dobila funkciju Memory Integrity Enforcement, koja ima za cilj da eliminiše čitavu klasu najčešće eksploatisanih ranjivosti u iOS-u. Apple je saopštio da će donirati 1.000 iPhone 17 uređaja organizacijama za ljudska prava koje rade sa novinarima, aktivistima i političarima – korisnicima koji su najčešće meta špijunskih napada.
„Iako većina korisnika nikada neće biti cilj takvih napada, osećamo duboku moralnu obavezu da ih zaštitimo. A ta zaštita će na kraju koristiti svima“, zaključio je Krstić.
