A Apple está anunciando uma grande expansão e redesenho de seu programa de recompensas por bugs, dobrando os pagamentos máximos, adicionando novas categorias de pesquisa e introduzindo uma estrutura de recompensa mais transparente.
Desde o lançamento do programa em 2020, a Apple concedeu US$ 35 milhões a 800 pesquisadores de segurança, a empresa pagando US$ 500.000 por alguns dos relatórios enviados.
A recompensa mais alta foi dobrada para US$ 2 milhões, por relatar vulnerabilidades que podem levar ao comprometimento remoto com zero clique (sem interação do usuário), semelhante a Ataques de spyware mercenário. No entanto, os pagamentos podem chegar a US$ 5 milhões por meio do sistema de bônus.
“Esta é uma quantia sem precedentes na indústria e o maior pagamento oferecido por qualquer programa de recompensas que conhecemos – e nosso sistema de bônus, fornecendo recompensas adicionais para desvios do Modo de Bloqueio e vulnerabilidades descobertas no software beta, pode mais do que dobrar essa recompensa, com um pagamento máximo superior a US$ 5 milhões”, disse a Apple.
Outros pagamentos aumentados ou introduzidos no novo esquema do programa incluem:
- Ataque remoto com um clique (interação do usuário) – US$ 1.000.000
- Ataque de proximidade sem fio – US$ 1.000.000
- Amplo acesso não autorizado ao iCloud – US$ 1.000.000
- Cadeia de exploração do WebKit que leva à execução de código arbitrário não assinado – US$ 1.000.000
- Ataque a dispositivo bloqueado com acesso físico – US$ 500.000
- Escape de sandbox de aplicativo – US$ 500.000
- Fuga de sandbox WebKit com um clique – $ 300.000
- Bypass completo do macOS Gatekeeper sem interação do usuário – US$ 100.000
- “Prêmio de incentivo” de US$ 1.000 para relatórios de baixo impacto, mas válidos
A Apple comenta que nunca recebeu um relatório demonstrando um desvio completo do Gatekeeper sem interação do usuário ou amplo acesso não autorizado ao iCloud, portanto, esses dois são pontos de alto desafio para os caçadores de recompensas por bugs.
Além disso, a Apple disse que “nunca observou um ataque de clique zero no mundo real executado puramente por proximidade sem fio”, referindo-se ao prêmio de US$ 1 milhão de ‘Proximidade sem fio’, aumentado de US$ 250.000 anteriormente.
Esta categoria também está sendo expandida, agora incluindo chips desenvolvidos pela Apple, como os modems C1 e C1X e o chip sem fio N1.
Para 2026, a Apple planeja distribuir mil dispositivos iPhone 17 seguros para membros de organizações da sociedade civil com maior risco de serem alvo de spyware mercenário.
Os mesmos dispositivos alimentarão o Apple Programa de Dispositivos de Pesquisa de Segurança no próximo ano, que os pesquisadores de segurança podem solicitar até 31 de outubro.
A gigante da tecnologia espera que o aumento dos prêmios tenha um impacto adicional no desenvolvimento de cadeias de ataque sofisticadas de fornecedores de spyware, pois os pesquisadores serão mais incentivados a encontrar e relatar problemas de segurança.
Para proteger seus usuários de ataques sofisticados de spyware, a Apple implementou no iOS medidas avançadas de proteção como Modo de bloqueio e Imposição de integridade de memória, que tornam o desenvolvimento e a execução de ataques de spyware furtivos mais caros.
O Evento de Validação de Segurança do Ano: O Picus BAS Summit
Junte-se ao Cúpula de Simulação de Violação e Ataque e experimente o Futuro da validação de segurança. Ouça os principais especialistas e veja como BAS alimentado por IA está transformando a simulação de violação e ataque.
Não perca o evento que moldará o futuro da sua estratégia de segurança