Em novembro, a Apple atualizará seu programa Security Bounty, um programa de recompensa por vulnerabilidades de software que oferecerá aos pesquisadores de segurança algumas das maiores recompensas do setor. A recompensa máxima pela descoberta de cadeias de exploração que podem atingir os mesmos objetivos de ataques sofisticados de spyware aumentou de US$ 1 milhão para US$ 2 milhões, com até US$ 5 milhões disponíveis para a descoberta das vulnerabilidades mais críticas.
A Apple está disposta a pagar quantias tão altas para descobrir cadeias de exploração que não exigem interação do usuário. Por vulnerabilidades “mais críticas”, a Apple define bugs em softwares beta e desvios do modo de bloqueio na arquitetura de segurança atualizada do navegador Safari.
Além disso, a empresa aumentou a recompensa pela descoberta de cadeias de exploração que exploram ações do usuário de US$ 250.000 para US$ 1 milhão. Uma recompensa semelhante é oferecida para a descoberta de ataques que exigem acesso físico a dispositivos, e a empresa está disposta a pagar até US$ 500.000 para relatar ataques bem-sucedidos que exigem acesso a dispositivos bloqueados. Pesquisadores que conseguirem demonstrar uma cadeia de execução de código de conteúdo web que escape da sandbox podem receber até US$ 300.000.
Ivan Krstić, vice-presidente de engenharia e arquitetura de segurança da Apple, relatou que, desde o lançamento e a expansão do programa nos últimos anos, a empresa pagou aproximadamente US$ 35 milhões a mais de 800 pesquisadores de segurança. Grandes recompensas são relativamente raras, embora a Apple tenha pago US$ 500.000 a hackers white hat em diversas ocasiões.
A Apple afirmou que os únicos ataques registrados ao sistemaAtaques no iOS têm sido associados a spyware, que historicamente tem sido associado a agentes estatais e normalmente é usado para atingir indivíduos específicos.
A empresa espera que novos recursos, como o modo de bloqueio e a integridade da memória, melhorem significativamente a segurança de suas plataformas. No entanto, os métodos dos cibercriminosos estão evoluindo, e a Apple espera que a atualização do programa de recompensas “incentive a pesquisa avançada sobre os vetores de ataque mais críticos, apesar da sofisticação crescente”.