Manzana anunciado lo que describe como una «gran evolución” de su programa Apple Security Bounty. La compañía dice que el programa ha pagado hasta ahora más de 35 millones de dólares a más de 800 investigadores de seguridad.
El anuncio de hoy promociona el «próximo capítulo importante» del programa, incluida la duplicación del premio mayor a 2 millones de dólares para «cadenas de explotación capaces de lograr objetivos similares a los de los sofisticados ataques de software espía mercenario».
Apple dice que la recompensa de 2 millones de dólares representa «una cantidad líder en la industria y el mayor pago ofrecido por cualquier programa de recompensas que conozcamos». También aumenta significativamente las recompensas para otras categorías, incluidos los descubrimientos de iCloud y Gatekeeper:
Estamos duplicando nuestra recompensa más grande a $2 millones por cadenas de exploits capaces de lograr objetivos similares a los sofisticados ataques de software espía mercenario. Esta es una cantidad líder en la industria y el pago más grande ofrecido por cualquier programa de recompensas que conozcamos, y nuestro sistema de bonificación, que ofrece recompensas adicionales por omitir bloqueos y vulnerabilidades descubiertas en el software beta, puede más que duplicar esta recompensa, con un pago máximo que supera los $5 millones. También estamos duplicando o aumentando significativamente las recompensas en muchas otras categorías para fomentar una investigación más intensiva. Esto incluye 100.000 dólares por una omisión completa de Gatekeeper y 1 millón de dólares por un acceso no autorizado a gran escala a iCloud, ya que hasta la fecha no se ha demostrado ningún exploit exitoso en ninguna de las categorías.
Otro cambio que Apple destacó es la ampliación de las categorías de recompensas para cubrir nuevas superficies de ataque:
Nuestras categorías de recompensas se expanden para cubrir aún más superficies de ataque. En particular, recompensamos las fugas del sandbox de WebKit con un solo clic con hasta $300 000 y los exploits de proximidad inalámbrica en cualquier radio con hasta $1 millón.
Apple también está presentando Target Flags, que describe como «una nueva forma para que los investigadores demuestren objetivamente la explotabilidad de algunas de nuestras categorías clave de recompensas».
Presentamos Target Flags, una nueva forma para que los investigadores demuestren objetivamente la explotabilidad de algunas de nuestras principales categorías de recompensas, incluida la ejecución remota de código y las omisiones de Transparencia, Consentimiento y Control (TCC), y para ayudar a determinar la elegibilidad para una recompensa específica. Los investigadores que envíen informes con Target Flags serán elegibles para recibir recompensas aceleradas, que se procesan inmediatamente después de recibir y verificar la investigación, incluso antes de que esté disponible un parche.
Finalmente, Apple dice que proporcionará mil dispositivos iPhone 17 a organizaciones de la sociedad civil que puedan poner estos dispositivos en manos de usuarios en riesgo, incluidos «miembros de la sociedad civil que podrían ser objetivo de software espía mercenario».
En 2022, logramos un Subvención de 10 millones de dólares para ciberseguridad en apoyo de organizaciones de la sociedad civil que investigan ataques de software espía mercenarios altamente dirigidos. Ahora estamos planeando una iniciativa especial que presenta el iPhone 17 con Memory Integrity Enforcement, que creemos que es la actualización de seguridad de memoria más importante en la historia de los sistemas operativos de consumo. Para que esta defensa revolucionaria y de vanguardia esté disponible rápidamente para los miembros de la sociedad civil en riesgo de ser atacados por software espía mercenario, proporcionaremos mil dispositivos iPhone 17 a organizaciones de la sociedad civil que puedan ponerlos en manos de usuarios en riesgo. Esta iniciativa refleja nuestro compromiso continuo de garantizar que nuestras protecciones de seguridad más avanzadas lleguen a quienes más las necesitan.
Apple dice que las actualizaciones entrarán en vigor en noviembre de 2025, momento en el que también publicará el desglose completo de categorías, recompensas y bonificaciones nuevas y ampliadas en el sitio de Investigación de seguridad de Apple.
Por ahora, puedes leer más detalles en Sitio web de investigación de seguridad de Apple.
Mis accesorios favoritos para iPhone:
Seguir oportunidad: Temas, cielo azul, InstagramY Mastodonte.
