Pomme annoncé une mise à jour de son programme Security Bounty, augmentant les récompenses financières pour les chercheurs en sécurité. Les changements visent à encourager la recherche avancée sur les vulnérabilités ciblées par des logiciels espions mercenaires sophistiqués qui ne nécessitent aucune interaction de l’utilisateur. La plus haute récompense du programme a doublé, passant de 1 million de dollars à 2 millions de dollars pour la découverte de chaînes d’exploits atteignant des objectifs similaires à ceux d’un mercenaire sophistiqué. logiciels espions attaques qui ne nécessitent aucune interaction de l’utilisateur. Le paiement maximum possible peut dépasser 5 millions de dollars pour identifier des vulnérabilités plus critiques, telles que des bogues dans les logiciels bêta ou des méthodes qui contournent le mode verrouillage, une architecture de sécurité améliorée dans le navigateur Safari. D’autres catégories de récompenses ont également connu des augmentations. Le programme propose désormais des paiements mis à jour pour plusieurs types de découvertes de vulnérabilités :
- Interaction utilisateur en un clic : Les récompenses pour les chaînes d’exploits nécessitant un simple clic de la part de l’utilisateur ont augmenté jusqu’à un maximum de 1 million de dollars, contre 250 000 dollars auparavant.
- Attaques de proximité physique : La récompense pour les attaques nécessitant une proximité physique avec un appareil a également été portée à un plafond de 1 million de dollars, contre 250 000 dollars auparavant.
- Attaques d’accès physique : Pour les attaques nécessitant un accès physique à un appareil verrouillé, la récompense maximale a été doublée, passant à 500 000 $.
- Exécution du contenu Web : Les chercheurs qui démontrent l’enchaînement de l’exécution de code WebContent avec une évasion sandbox sont éligibles pour recevoir jusqu’à 300 000 $.
Depuis l’introduction et l’expansion du programme, Apple a attribué plus de 35 millions de dollars à plus de 800 chercheurs en sécurité, selon Ivan Krstić (via Filaire), vice-président de l’ingénierie et de l’architecture de sécurité de l’entreprise. Bien que les paiements les plus importants soient très rares, Apple a effectué plusieurs paiements de 500 000 $. Apple a déclaré dans son annonce que les seules attaques iOS au niveau du système observées dans la nature provenaient de mercenaires. logiciels espionsun type d’attaque historiquement associé aux acteurs étatiques et généralement utilisé pour cibler des individus spécifiques. De nouvelles fonctionnalités de sécurité, notamment le mode de verrouillage et le renforcement de l’intégrité de la mémoire, sont conçues pour rendre ces attaques plus difficiles en luttant contre les vulnérabilités de corruption de la mémoire. Apple espère que la mise à jour de son programme de primes avec des paiements plus importants pourra « encourager des recherches très avancées sur ses surfaces d’attaque les plus critiques malgré la difficulté accrue ».
