Apfel angekündigt ein Update seines Security Bounty-Programms, das die finanziellen Belohnungen für Sicherheitsforscher erhöht. Die Änderungen sollen die fortgeschrittene Erforschung von Schwachstellen fördern, auf die hochentwickelte Söldner-Spyware abzielt, die keine Benutzerinteraktion erfordert. Die höchste Auszeichnung des Programms wurde von 1 Million US-Dollar auf 2 Millionen US-Dollar für die Entdeckung von Exploit-Ketten verdoppelt, die ähnliche Ziele wie hochentwickelte Söldner erreichen Spyware Angriffe, die keine Benutzerinteraktion erfordern. Die maximal mögliche Auszahlung kann 5 Millionen US-Dollar übersteigen, um kritischere Schwachstellen zu identifizieren, wie etwa Bugs in Beta-Software oder Methoden, die den Lockdown-Modus, eine verbesserte Sicherheitsarchitektur im Safari-Browser, umgehen. Auch andere Prämienkategorien verzeichneten Zuwächse. Das Programm bietet jetzt aktualisierte Auszahlungen für verschiedene Arten von Schwachstellenentdeckungen:
- Benutzerinteraktion mit einem Klick: Die Belohnungen für Exploit-Ketten, die einen einzigen Klick des Benutzers erfordern, wurden von 250.000 US-Dollar auf maximal 1 Million US-Dollar erhöht.
- Angriffe aus physischer Nähe: Auch die Belohnung für Angriffe, die die physische Nähe zu einem Gerät erfordern, wurde von 250.000 US-Dollar auf eine Obergrenze von 1 Million US-Dollar angehoben.
- Angriffe auf physischen Zugang: Für Angriffe, die physischen Zugriff auf ein gesperrtes Gerät erfordern, wurde die maximale Belohnung auf 500.000 US-Dollar verdoppelt.
- WebContent-Ausführung: Forscher, die die Verkettung der Ausführung von WebContent-Code mit einem Sandbox-Escape demonstrieren, haben Anspruch auf bis zu 300.000 US-Dollar.
Laut Ivan Krstić (via) hat Apple seit der Einführung und Erweiterung des Programms über 35 Millionen US-Dollar an mehr als 800 Sicherheitsforscher vergeben Verdrahtet), Vizepräsident des Unternehmens für Sicherheitstechnik und Architektur. Während Auszahlungen in der höchsten Höhe sehr selten sind, hat Apple mehrfach Auszahlungen in Höhe von 500.000 US-Dollar vorgenommen. Apple gab in seiner Ankündigung an, dass die einzigen in freier Wildbahn beobachteten iOS-Angriffe auf Systemebene von Söldnern stammten Spywareein Angriffstyp, der in der Vergangenheit mit staatlichen Akteuren in Verbindung gebracht wurde und typischerweise auf bestimmte Personen abzielte. Neue Sicherheitsfunktionen, darunter der Sperrmodus und die Durchsetzung der Speicherintegrität, sollen solche Angriffe durch die Bekämpfung von Speicherbeschädigungslücken erschweren. Apple hofft, dass die Aktualisierung seines Kopfgeldprogramms mit höheren Auszahlungen „trotz der erhöhten Schwierigkeit hochentwickelte Forschung auf seinen kritischsten Angriffsflächen fördern kann“.
