Nawet 5 mln dolarów za znalezienie krytycznej luki w produktach Apple – ciekawa aktualizacja programu Security Bounty

Programy Bug Bounty są często organizowane przez duże korporacje, aby zachęcić społeczność badaczy cyberbezpieczeństwa do poszukiwania luk i podatności w oferowanych produktach i usługach. Za znalezione błędy wydawane są nagrody, często w postaci środków pieniężnych. Wysokość nagrody zależy od wielu czynników, jednym z nich jest wpływ wykrytej luki na rzeczywiste bezpieczeństwo użytkowników.

TLDR:

• Apple ogłosił aktualizację programu Apple Security Bounty.
• Zmiany mają obowiązywać od listopada 2025 r.
• Oprócz podwojenia wysokości nagród i wdrożenia bonusów za demonstrację łańcucha exploitów, Apple wprowadza mechanizm Target Flags.
• Target Flags, czyli system wzorowany na zawodach CTF, pozwala na przyspieszenie weryfikacji zgłoszeń oraz kwalifikacji przyznawania nagród.

W ostatnim czasie na oficjalnym blogu Apple pojawiła się informacja o aktualizacji programu Apple Security Bounty. Program zacznie obowiązywać od listopada br. i wprowadza szereg istotnych zmian, zarówno w kwestii finansowej jak i organizacyjnej. Firma podwaja najwyższą nagrodę do 2 milionów dolarów za wykrycie podatności typu zero-click chain, gdzie nie jest wymagana interakcja ze strony użytkownika. 

Jeżeli wykryta podatność pozwoliłaby również na obejście trybu Lockdown Mode i dotyczyłaby oprogramowania w wersji beta, wysokość nagrody wzrośnie do 5 milionów dolarów. Jest to jedna z najwyższych kwot, którą można otrzymać w ramach globalnego programu Bug Bounty.  Apple od 2020 r. wypłacił ponad 35 milionów dolarów dla ok. 800 badaczy bezpieczeństwa. Żadna ze zgłoszonych podatności nie została jednak wyróżniona najwyższą nagrodą, co świadczy o tym jak bardzo rygorystyczne kryteria musi ona spełniać. 

Ponadto, podwojone zostały również nagrody w innych kategoriach, aby zachęcić do przeprowadzania kompleksowych analiz. Dotyczy to między innymi 100 tysięcy dolarów za obejście mechanizmu Gatekepeer, milion dolarów za uzyskanie nieautoryzowanego dostępu do konta iCloud, 300 tysięcy dolarów za ucieczkę z piaskownicy WebKit, milion dolarów za uzyskanie nieautoryzowanego dostępu do urządzenia z wykorzystaniem łączności bezprzewodowej, bez fizycznej interakcji z urządzeniem. Należy podkreślić, że Apple planuje również docenić badaczy za wykrycie luk o niskim wpływie na rzeczywiste bezpieczeństwo użytkowników, oferując nagrodę w wysokości do 1000 dolarów, aby zachęcić do zgłaszania nawet tych najmniejszych błędów.

Firma celowo oferuje bardzo wysokie nagrody, aby zachęcić uczestników programu do badań nad zaawansowanymi metodami ataku, które odzwierciedlałyby rzeczywiste techniki stosowane przez zaawansowanych atakujących (w tym grupy APT).

Kolejna zmiana dotyczy wdrożenia Target Flags, czyli mechanizmu pozwalającego badaczom na obiektywne udowodnienie faktu wykorzystania wykrytej podatności, a także wspomagającego określenie kwalifikacji do konkretnej nagrody. Poprzednia edycja programu wymagała szczegółowej weryfikacji zgłoszeń, co przekładało się na długi czas oczekiwania od momentu wysłania zgłoszenia do otrzymania oficjalnego potwierdzenia wykrycia podatności i nagrodzeniu badacza. Nagrody były wypłacane dopiero po oficjalnych wydaniu aktualizacji, naprawiającej dany błąd. 

Wychodząc naprzeciw oczekiwaniom Apple wdrożył mechanizm wzorujący się na zawodach CTF. Wewnątrz systemów umieszczono szereg flag, z podziałem na kategorie, których odczytanie potwierdza przejęcie kontroli nad systemem. Przedstawiciele Apple nie muszą sprawdzać, czy naruszenie bezpieczeństwa systemu miało miejsce, ponieważ znajomość flagi powinna to gwarantować. Po przesłaniu raportu zawierającego opis wykrytego błędu, firma przeprowadza wstępna weryfikację, a następnie informuje badacza o potwierdzeniu przyznania nagrody. Ponadto, nagroda wypłacana jest w tym samym cyklu rozliczeniowym, a nie w momencie udostępnienia poprawki, co podkreśla poziom zaufania, jakim firma Apple darzy społeczność badaczy. Mechanizm Target Flags został wdrożony na wszystkich platformach Apple: iOS, macOS, watchOS, tvOS, iPadOS, visionOS.

Zachęcamy do udziału w projekcie.

Źródło: security.apple.com/blog/  

Uczestniczycie w programach bug bounty?

~_secmike