Kopš tā palaišanas Bug Bounty programma gandrīz pirms desmit gadiem, Apple vienmēr ir atzīmējis ievērojamas maksimālās izmaksas – 200 000 USD 2016. gadā un 1 miljonu USD 2019. gadā. Tagad uzņēmums atkal palielina likmes. Hexacon ofensīvas drošības konferencē Parīzē piektdien Apple viceprezidents drošības inženierijas un arhitektūras Ivans Krstičs paziņoja par jaunu maksimālo izmaksu USD 2 miljonu apmērā par programmatūras izmantošanas ķēdi, ko varētu izmantot spiegprogrammatūrai.
Pārvietošanās atspoguļo to, cik vērtīgas izmantojamas ievainojamības var būt Apple ļoti aizsargātajā mobilajā vidē – un ilgums, ko uzņēmums dosies, lai šādus atklājumus neiekļūtu nepareizajās rokās. Papildus individuālām izmaksām uzņēmuma kļūdu velti ietver arī bonusa struktūru, pievienojot papildu balvas par izmantošanu, kas var apiet savu īpaši drošo bloķēšanas režīmu, kā arī tos, kas atklāti, kamēr Apple programmatūra joprojām atrodas beta testēšanas posmā. Kopumā maksimālā balva par to, kas citādi būtu potenciāli katastrofāla izmantošanas ķēde, tagad būs USD 5 miljoni. Izmaiņas stājas spēkā nākamajā mēnesī.
“Mēs šeit sakārtojam daudzus miljonus dolāru, un tam ir iemesls,” Krstičs stāsta Wired. “Mēs vēlamies pārliecināties, ka vissmagākajām kategorijām vissmagākajām problēmām, lietām, kas visciešāk atspoguļo uzbrukumus, ko mēs redzam ar algotņu spiegprogrammatūru – ka pētnieki, kuriem ir šīs prasmes un spējas, un pieliek šādus centienus un laiku var saņemt milzīgu atlīdzību.”
Apple saka, ka visā pasaulē ir aktīvi vairāk nekā 2,35 miljardi tās ierīču. Uzņēmuma Bug Bounty sākotnēji bija tikai ielūgumu programma ievērojamiem pētniekiem, taču kopš tā laika, kad 2020. gadā tika atvērta sabiedrība, Apple saka, ka tā ir piešķīrusi vairāk nekā 35 miljonus dolāru vairāk nekā 800 drošības pētnieku. Augstākā dolāra izmaksas ir ļoti reti sastopamas, taču Krstić saka, ka pēdējos gados uzņēmums ir veikusi vairākas 500 000 USD izmaksas.
Papildus lielākām iespējamām atlīdzībām Apple arī paplašina Bug Bounty kategorijas, iekļaujot noteikta veida viena klikšķa “WebKit” pārlūka infrastruktūras izmantošanas veidus, kā arī bezvadu tuvuma izmantošanu, kas veikta ar jebkura veida radio. Un ir pat jauns piedāvājums, kas pazīstams kā “mērķa karodziņi”, kas liek karoga uzlaušanas sacensību uztveršanas koncepciju par Apple programmatūras reālās pasaules pārbaudi, lai palīdzētu pētniekiem ātri un galīgi demonstrēt to izmantošanas iespējas.
Apple Bug Bounty ir tikai viena no daudzām ilgtermiņa ieguldījumiem, kuru mērķis ir samazināt bīstamo ievainojamību izplatību vai bloķēt to izmantošanu. Piemēram, pēc vairāk nekā piecu gadu darba uzņēmums pagājušajā mēnesī paziņoja par drošības aizsardzību jaunajā iPhone 17 sastāvā, kura mērķis ir atcelt visbiežāk izmantoto iOS kļūdu klasi. Pazīstams kā atmiņas integritātes izpilde, šī funkcija ir liela šūpoles, kuru mērķis ir aizsargāt nelielu mazākumtautību un visneaizsargātāko un ļoti mērķtiecīgo grupu mazākumu, ieskaitot aktīvistus, žurnālistus un politiķus -, vienlaikus pievienojot aizsardzību arī visiem jaunu ierīču lietotājiem. Šajā nolūkā uzņēmums piektdien paziņoja, ka ziedos tūkstoš iPhone 17S tiesību grupām, kas strādā ar cilvēkiem, kuriem ir dangers saskarties ar mērķtiecīgiem digitāliem uzbrukumiem.
“Jūs varat teikt, labi, ka tas šķiet ļoti lieli centieni aizsargāt tikai to, ka ļoti mazs lietotāju skaits, uz kuriem mērķē algotņu spiegprogrammatūra, wager ir tikai šis neapstrīdamais pieredzes rādītāji, kurus aprakstījuši žurnālisti, tehnoloģiju uzņēmumi un pilsoniskās sabiedrības organizācijas, ka šīs tehnoloģijas tiek nepārtraukti izmantotas,” saka Krstić. “Un mēs jūtam lielu morālu pienākumu aizstāvēt šos lietotājus. Neskatoties uz to, ka lielajam lielākajai daļai mūsu lietotāju nekad netiks mērķēts kaut kas līdzīgs šim, šis darbs, ko mēs paveicām, galu galā arvien pieaugs aizsardzība visiem.”
