Mela annunciato un aggiornamento al suo programma Security Bounty, che aumenta i premi finanziari per i ricercatori nel campo della sicurezza. Le modifiche hanno lo scopo di incoraggiare la ricerca avanzata sulle vulnerabilità prese di mira da sofisticati spyware mercenari che non richiedono l’interazione dell’utente. Il premio più importante del programma è raddoppiato da 1 a 2 milioni di dollari per aver scoperto catene di exploit che raggiungono obiettivi simili a quelli di sofisticati mercenari spyware attacchi che non richiedono l’interazione dell’utente. Il pagamento massimo possibile può superare i 5 milioni di dollari per identificare vulnerabilità più critiche, come bug nel software beta o metodi che aggirano la modalità Lockdown, un’architettura di sicurezza aggiornata nel browser Safari. Anche altre categorie di premi hanno registrato aumenti. Il programma ora offre pagamenti aggiornati per diversi tipi di scoperte di vulnerabilità:
- Interazione con l’utente con un clic: I premi per le catene di exploit che richiedono un singolo clic da parte dell’utente sono aumentati fino a un massimo di 1 milione di dollari, rispetto a 250.000 dollari.
- Attacchi di prossimità fisica: Anche la ricompensa per gli attacchi che richiedono la vicinanza fisica a un dispositivo è stata aumentata a un tetto di 1 milione di dollari, rispetto a 250.000 dollari.
- Attacchi all’accesso fisico: Per gli attacchi che richiedono l’accesso fisico a un dispositivo bloccato, la ricompensa massima è stata raddoppiata a 500.000 dollari.
- Esecuzione del contenuto Web: I ricercatori che dimostrano di concatenare l’esecuzione del codice WebContent con un escape sandbox hanno diritto a ricevere fino a $ 300.000.
Dall’introduzione e dall’espansione del programma, secondo Ivan Krstić (via Cablato), vicepresidente dell’azienda per l’ingegneria e l’architettura della sicurezza. Sebbene i pagamenti di cifre elevate siano molto rari, Apple ha effettuato più pagamenti di $ 500.000. Apple ha dichiarato nel suo annuncio che gli unici attacchi iOS a livello di sistema osservati in natura provengono da mercenari spywareun tipo di attacco storicamente associato ad attori statali e tipicamente utilizzato per prendere di mira individui specifici. Nuove funzionalità di sicurezza, tra cui Lockdown Mode e Memory Integrity Enforcement, sono progettate per rendere tali attacchi più difficili combattendo le vulnerabilità di corruzione della memoria. Apple spera che l’aggiornamento del suo programma di ricompensa con pagamenti più grandi possa “incoraggiare la ricerca altamente avanzata sulle superfici di attacco più critiche nonostante la maggiore difficoltà”.
