Компания Apple предлагает вознаграждение в размере 2 миллионов долларов любому, кто сможет взломать iPhone.

По сравнению со многими технологическими компаниями, Apple традиционно считалась довольно осторожной в вопросе вознаграждения тех, кто обнаруживает уязвимости в iPhone. Однако недавно компания значительно скорректировала свою программу вознаграждения за обнаружение ошибок, чтобы заблаговременно выявлять и устранять серьезные уязвимости до того, как они будут использованы злоумышленниками.

10 октября Apple увеличила максимальное вознаграждение за обнаружение уязвимости в iPhone до 2 миллионов долларов, что вдвое больше предыдущего показателя в 1 миллион долларов; и эта сумма может возрасти до 5 миллионов долларов, если уязвимость включает в себя дополнительные элементы, такие как обход режима блокировки.

Чтобы получить максимальное вознаграждение, хакеры или исследователи должны обнаружить уязвимости, которые потенциально могут привести к тем же целям, что и сложные шпионские кампании.

Помимо самой дорогой награды, Apple также увеличила вознаграждения за многие другие категории, такие как способы обхода Gatekeeper, которые теперь оцениваются в 100 000 долларов, а за уязвимости, позволяющие получить несанкционированный доступ к iCloud, может быть выплачено до 1 миллиона долларов.

Компания также расширила сферу действия программы, добавив такие категории, как уязвимости WebKit и уязвимости, связанные с беспроводной связью, что демонстрирует стремление повысить уровень защиты экосистемы Apple.

Программа Apple по поиску уязвимостей становится все более совершенной.

За последние пять лет Apple потратила более 35 миллионов долларов на вознаграждения более чем 800 «белым хакерам» и исследователям безопасности в рамках своей программы вознаграждения за обнаружение уязвимостей. Компания заявляет, что работает над тем, чтобы сделать программу более прозрачной, привлекательной и эффективной, в том числе сократить время, необходимое для вознаграждения за подтвержденные открытия.

По данным Apple, одним из существенных улучшений является внедрение нового механизма, позволяющего исследователям объективно демонстрировать возможности эксплуатации уязвимостей в категориях с высокой потенциальной выгодой, таких как удаленное выполнение кода или обход механизма прозрачности, согласия и контроля (TCC). Сообщения, обработанные с помощью этого механизма, будут обрабатываться и вознаграждаться быстрее, даже до официального выпуска патча.

Этот шаг представляет собой серьезный сдвиг в подходе Apple к сообществу специалистов по безопасности. До 2020 года, когда программа Apple по поиску уязвимостей была официально запущена, отношения между компанией и исследователями были довольно напряженными, и многие жалобы на уязвимости оставались без ответа.

Компания Apple превратила свою программу поиска уязвимостей из ничего в одну из самых всеобъемлющих и ценных систем в технологической индустрии. Компания заявляет, что обновленная версия программы будет официально запущена в следующем месяце, расширившись за счет включения большего количества категорий и обеспечивая лучшую поддержку для мирового сообщества специалистов по безопасности.

Борьба Apple с изощренными шпионскими программами.

В своем последнем заявлении Apple особо подчеркнула фразу «изощренные атаки шпионского ПО, осуществляемые наемниками», говоря о вознаграждении в 2 миллиона долларов, самом высоком в программе поиска уязвимостей. Это не просто приглашение для экспертов по безопасности, но и отражение постоянных усилий Apple по укреплению защиты iPhone от все более опасных кампаний кибершпионажа.

В последние годы шпионские программы, такие как Pegasus от израильской технологической компании NSO Group, достигли пугающе высокого уровня сложности. Они могут проникать в iPhone без какого-либо взаимодействия с пользователем, используя уязвимости нулевого дня для отслеживания сообщений, электронных писем, фотографий и других конфиденциальных данных. Первая версия Pegasus требовала от пользователей лишь перехода по ссылке в SMS-сообщении, но более поздние версии могли устанавливаться даже без взаимодействия с пользователем, делая все традиционные меры безопасности неэффективными.

В течение многих лет Apple постоянно устраняла уязвимости, используемые NSO Group, но эта «игра в кошки-мышки» далека от завершения. В 2021 году компания решила подать в суд на NSO Group, обвинив компанию в «отслеживании и целенаправленном воздействии на пользователей Apple» с помощью коммерческого шпионского ПО.

В то время Крейг Федериги, старший вице-президент Apple по программному обеспечению, заявил: «Устройства Apple — это самое защищенное потребительское оборудование на рынке, но спонсируемые государством компании, занимающиеся шпионским ПО, представляют серьезную угрозу конфиденциальности пользователей».

Хотя Apple отозвала иск в 2024 году из-за опасений по поводу разглашения конфиденциальной информации о безопасности, этот случай по-прежнему демонстрирует твердую приверженность компании борьбе со шпионским ПО и объясняет, почему Apple готова тратить миллионы долларов на устранение уязвимостей, которые могут угрожать безопасности пользователей iPhone по всему миру.

iPhone 17 оснащен новыми средствами защиты для борьбы со шпионским ПО.

Помимо расширения программы поиска уязвимостей, Apple также усиливает защиту iPhone от все более изощренных киберугроз. В серии iPhone 17 компания представила новую функцию безопасности под названием «Механизм защиты целостности памяти» (MIE) — описанную как «самое масштабное обновление в области безопасности памяти в истории потребительских операционных систем».

По данным Apple, MIE предотвращает внедрение вредоносного кода в систему, разрешая выполнение только доверенного кода в защищенных областях памяти. Большинство современных шпионских программ используют уязвимости безопасности памяти, и MIE разработан для устранения этой уязвимости в корне. Компания заявляет, что эта функция разрабатывалась с 2020 года и теперь интегрирована по умолчанию во всю линейку iPhone 17 и iPhone Air.

В прилагаемом техническом отчете Apple заявила, что MIE достаточно мощна, чтобы сделать разработку инструментов атаки, нацеленных на iPhone 17, чрезвычайно дорогостоящей и сложной. Представитель компании уверенно заявил, что MIE «взломает многие из самых эффективных методов эксплуатации за последние 25 лет, полностью переосмыслив концепцию безопасности памяти на мобильных устройствах».

Сочетая новые функции аппаратной безопасности с расширенной программой вознаграждения за обнаружение уязвимостей, Apple демонстрирует, что неуклонно укрепляет позиции iPhone как одного из самых безопасных мобильных устройств в мире.