אפל הודיעה על הרחבה משמעותית של תוכנית הפרסים שלה לחוקרי אבטחה (Apple Security Bounty), תוכנית שבה החברה משלמת לחוקרים שמוצאים ומדווחים על פרצות אבטחה במוצריה. הפרס המקסימלי מוכפל לשני מיליון דולר עבור חוקרים שיצליחו להדגים שרשרת פרצות המאפשרת השתלטות מלאה על המכשיר. לפי ההודעה, מדובר בסכום חסר תקדים בתעשייה ובתגמול הגבוה ביותר המוצע בכל תוכנית מסוג זה.
הסכומים יכולים להיות גבוהים אף יותר: החברה מציעה בונוסים משמעותיים למי שימצא פרצות בגרסאות בטא לפני שהן יוצאות לציבור, או למי שיצליח לעקוף את Lockdown Mode - מצב ההגנה המיוחד למשתמשים בסיכון גבוה. עם הבונוסים הנוספים, התגמול המקסימלי יכול לעלות על חמישה מיליון דולר.
מאז השקת התוכנית הציבורית ב-2020, אפל שילמה יותר מ-35 מיליון דולר ליותר מ-800 חוקרי אבטחה, כאשר כמה דיווחים זכו בפרסים של 500 אלף דולר כל אחד. השינויים החדשים ייכנסו לתוקף בנובמבר 2025.
לפי אפל, כל ההתקפות ברמת המערכת שהחברה מזהה במציאות נגד iOS מגיעות מתוכנות ריגול שכירות - מתקפות סייבר מתוחכמות ביותר, המזוהות היסטורית עם גורמים ממשלתיים, שעלות פיתוחן מגיעה למיליוני דולרים והן משמשות נגד מספר קטן מאוד של יעדים ספציפיים.
תוכנית ה-Security Bounty המעודכנת כוללת הרחבה של קטגוריות המחקר. בין היתר, אפל מציעה 100 אלף דולר לחוקרי אבטחה שיצליחו לעקוף לחלוטין את Gatekeeper - מערכת ההגנה של מק שבודקת אפליקציות לפני הפעלתן כדי למנוע תוכנות זדוניות. החברה מציינת כי עד היום לא קיבלה מאף חוקר הדגמה של עקיפה מלאה של המערכת ללא צורך באינטראקציה של המשתמש.
בנוסף, החברה מציעה פרס של מיליון דולר למי שיצליח להדגים פריצה המאפשרת גישה רחבה ולא מורשית לשירות iCloud. גם כאן, לדברי אפל, אף חוקר לא הצליח עד היום להדגים פריצה מוצלחת מסוג זה.
מערכת חדשה להוכחת פריצות
חידוש מרכזי בתוכנית הוא "דגלי יעד" (Target Flags) - מערכת המובנית במערכות ההפעלה של אפל ומאפשרת לחוקרים להוכיח שהצליחו לפרוץ למערכת. בדומה לתחרויות האקרים מסוג capture-the-flag, החוקר צריך להגיע ל"דגל" דיגיטלי ספציפי המוכיח את רמת הפריצה שהשיג. השיטה מאפשרת לאפל לאמת במהירות את הממצאים ולשלם את הפרס מיד, עוד לפני פיתוח תיקון לבעיה.
אפל מרחיבה את התגמולים עבור פריצות דרך דפדפנים. החברה תשלם עד 300 אלף דולר למי שיצליח "לברוח" מסביבת ההגנה (sandbox) של מנוע הדפדפן WebKit בלחיצה אחת בלבד. אם החוקר יצליח להמשיך את שרשרת הפריצה עד להרצת קוד זדוני עם הרשאות מלאות במערכת, הפרס יגיע למיליון דולר.
קטגוריה נוספת שזוכה להרחבה היא התקפות שמבוצעות דרך חיבורים אלחוטיים (כמו WiFi או Bluetooth) כשהתוקף נמצא בקרבה פיזית למכשיר. אפל מכפילה את הפרס בקטגוריה זו למיליון דולר ומרחיבה אותה לכלול את כל ממשקי התקשורת האלחוטית במכשירים החדשים שלה.
להלן חלק מהעדכונים בתגמולים המקסימליים: התקפה מרחוק ללא צורך בפעולה מצד המשתמש עולה ממיליון דולר לשני מיליון דולר; התקפה הדורשת לחיצה אחת מהמשתמש עולה מ-250 אלף דולר למיליון דולר; התקפה אלחוטית בקרבה פיזית עולה מ-250 אלף דולר למיליון דולר; והתקפה הדורשת גישה פיזית למכשיר נעול עולה מ-250 אלף דולר ל-500 אלף דולר.
כחלק מיוזמה מיוחדת ל-2026, אפל מתכננת לספק אלף מכשירי אייפון 17 לארגוני חברה אזרחית, שיעבירו אותם לפעילי זכויות אדם, עיתונאים ופעילים פוליטיים שעלולים להיות מטרות לתוכנות ריגול ממשלתיות. המכשירים יכללו את תכונת Memory Integrity Enforcement, שאותה החברה מכנה "השדרוג המשמעותי ביותר לבטיחות זיכרון בהיסטוריה של מערכות הפעלה צרכניות".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו