Apple удвоила максимальную награду за найденные уязвимости до $2 млн

Apple объявила о масштабном обновлении своей программы вознаграждений за найденные уязвимости (bug bounty), увеличив максимальную выплату до $2 миллионов. Такая сумма будет выплачиваться за цепочки эксплойтов, сопоставимые по уровню сложности с атаками коммерческого шпионского ПО.

Кроме того, компания ввела дополнительные бонусы за уязвимости, найденные в бета-версиях систем, а также за обход защитного режима Lockdown Mode. По оценке Apple, общий объём возможных выплат может превысить $5 миллионов — «самую крупную сумму среди всех существующих программ вознаграждений», как заявляет компания.

Теперь программа делает упор не на отдельные уязвимости, а на полные цепочки атак, что отражает реальную практику хакеров, которые обычно комбинируют несколько ошибок системы. Повышены выплаты за уязвимости, позволяющие удалённое проникновение, а вот категории, редко встречающиеся в реальных атаках, теперь будут оцениваться ниже.

В числе нововведений — система Target Flags, вдохновлённая игровыми соревнованиями Capture the Flag. Исследователь, успешно эксплуатировавший уязвимость, сможет «захватить флаг», подтверждающий уровень полученного доступа (например, выполнение произвольного кода или чтение/запись данных). После проверки флага Apple сразу уведомит исследователя о сумме вознаграждения и произведёт выплату в ближайшем цикле — ждать выхода патча, как раньше, больше не придётся.

Обновлённая программа вступит в силу в ноябре 2025 года. В числе новых категорий — вознаграждения до $300.000 за обход песочницы WebKit в один клик, атаки через беспроводные интерфейсы с близкого расстояния (до $1 миллиона) и полный обход защиты Gatekeeper в macOS (до $100.000).

С момента запуска публичной программы в 2020 году Apple выплатила более $35 миллионов свыше 800 исследователям. Подробности об изменениях доступны на сайте Apple Security Research.