Apple está anunciando una importante expansión y rediseño de su programa de recompensas por errores, duplicando los pagos máximos, agregando nuevas categorías de investigación e introduciendo una estructura de recompensas más transparente.
Desde que se lanzó el programa en 2020, Apple ha otorgado 35 millones de dólares a 800 investigadores de seguridad y la empresa pagó 500.000 dólares por algunos de los informes presentados.
La recompensa más alta se ha duplicado a 2 millones de dólares, por informar vulnerabilidades que pueden provocar un compromiso remoto sin hacer clic (sin interacción del usuario), similar a ataques de software espía mercenario. Sin embargo, los pagos pueden llegar hasta los 5 millones de dólares a través del sistema de bonificación.
«Esta es una cantidad sin precedentes en la industria y el pago más grande ofrecido por cualquier programa de recompensas que conozcamos, y nuestro sistema de bonificación, que proporciona recompensas adicionales por omitir el modo de bloqueo y vulnerabilidades descubiertas en el software beta, puede más que duplicar esta recompensa, con un pago máximo de más de $5 millones». dijo manzana.
Otros pagos aumentados o introducidos bajo el nuevo esquema del programa incluyen:
- Ataque remoto con un clic (interacción del usuario): 1.000.000 de dólares
- Ataque de proximidad inalámbrico: 1.000.000 de dólares
- Amplio acceso no autorizado a iCloud: $1,000,000
- Cadena de exploits de WebKit que conduce a la ejecución de código arbitrario sin firmar: 1.000.000 de dólares
- Ataque a dispositivo bloqueado con acceso físico: 500 000 dólares
- Escape de la zona de pruebas de la aplicación: $500,000
- Escape de la zona de pruebas de WebKit con un solo clic: $ 300 000
- Omisión completa de macOS Gatekeeper sin interacción del usuario: $100 000
- “Premio de estímulo” de $1,000 por informes de bajo impacto pero válidos
Apple comenta que nunca ha recibido un informe que demuestre una omisión completa de Gatekeeper sin interacción del usuario o acceso amplio no autorizado a iCloud, por lo que estos dos son puntos de gran desafío para los cazadores de recompensas de errores.
Además, Apple dijo que “nunca ha observado un ataque sin clic en el mundo real ejecutado únicamente a través de proximidad inalámbrica”, refiriéndose al premio de 1 millón de dólares por 'Proximidad inalámbrica', frente a los 250.000 dólares anteriores.
Esta categoría también se está ampliando y ahora incluye chips desarrollados por Apple, como los módems C1 y C1X y el chip inalámbrico N1.
Para 2026, Apple planea distribuir mil dispositivos iPhone 17 seguros a miembros de organizaciones de la sociedad civil con mayor riesgo de ser blanco de software espía mercenario.
Los mismos dispositivos impulsarán a Apple Programa de dispositivos de investigación de seguridad el próximo año, que los investigadores de seguridad pueden solicitar antes del 31 de octubre.
El gigante tecnológico espera que el aumento de las recompensas tenga un impacto adicional en el desarrollo de sofisticadas cadenas de ataques por parte de proveedores de software espía, ya que los investigadores estarán más incentivados a encontrar e informar problemas de seguridad.
Para proteger a sus usuarios de sofisticados ataques de software espía, Apple implementó en iOS medidas de protección avanzadas como Modo de bloqueo y Aplicación de la integridad de la memoriaque encarecen el desarrollo y la realización de ataques sigilosos de software espía.
Únete a la Cumbre de simulación de infracciones y ataques y experimentar el futuro de la validación de seguridad. Escuche a los mejores expertos y vea cómo BAS impulsado por IA está transformando la simulación de infracciones y ataques.
No te pierdas el evento que marcará el futuro de tu estrategia de seguridad
