Cập nhật chương trình săn tiền thưởng của Apple: Giải thưởng cao nhất là 2 triệu đô la, đã trả 35 triệu đô la cho đến nay

Hôm thứ sáu, Apple đã công bố những cập nhật quan trọng cho chương trình tiền thưởng cho lỗi phát hiện và hiện công ty đang trả tới 2 triệu đô la cho các chuỗi khai thác phức tạp.

Kể từ khi ra mắt chương trình tiền thưởng lỗi công khai vào năm 2020, Apple đã trao tổng cộng hơn 35 triệu đô la cho hơn 800 nhà nghiên cứu bảo mật. Apple cho biết nhiều hacker đã kiếm được 500.000 đô la cho công việc của họ.

Gã khổng lồ công nghệ gần đây đã công bố Memory Integrity Enforcement (MIE) , một tính năng bảo vệ an toàn bộ nhớ luôn bật cho iPhone được thiết kế để chống lại các cuộc tấn công tinh vi như các cuộc tấn công do các nhà cung cấp phần mềm gián điệp đánh thuê thực hiện.

Apple tin rằng các cuộc tấn công bằng phần mềm gián điệp này là mối đe dọa duy nhất thực sự gây ra mối đe dọa đáng kể cho khách hàng của mình và hiện công ty muốn tăng cường hơn nữa tính bảo mật cho sản phẩm của mình để chống lại các cuộc tấn công tinh vi.

Công ty thực hiện điều này bằng cách khai thác tài năng bảo mật tấn công từ bên ngoài công ty, cụ thể là bằng cách tăng đáng kể tiền thưởng cho các lỗ hổng như những lỗ hổng có thể được sử dụng trong chuỗi khai thác các cuộc tấn công bằng phần mềm gián điệp đánh thuê.

Cụ thể, mức thưởng cao nhất cho chuỗi khai thác không cần nhấp chuột đạt được mục tiêu xâm nhập thiết bị từ xa đã được tăng từ 1 triệu đô la lên 2 triệu đô la. Apple chỉ ra rằng đây là mức lương cơ bản và về lý thuyết, các nhà nghiên cứu có thể nhận được tới 5 triệu đô la nếu họ kiếm được tiền thưởng cho việc vượt qua Chế độ Khóa và các lỗ hổng được phát hiện trong phần mềm beta.

Trong cuộc gọi với các phóng viên vào thứ năm, Apple lưu ý rằng việc ai đó kiếm được phần thưởng 5 triệu đô la không phải là điều dễ dàng hoặc không có khả năng xảy ra, nhưng về mặt lý thuyết là có thể.

Apple cũng đang tăng đáng kể tiền thưởng cho lỗi thoát khỏi hộp cát ứng dụng (từ 150.000 đô la lên 500.000 đô la), các cuộc tấn công yêu cầu truy cập vật lý vào thiết bị bị khóa (từ 250.000 đô la lên 500.000 đô la), các cuộc tấn công không dây yêu cầu tiếp xúc vật lý (từ 250.000 đô la lên 1 triệu đô la) và tấn công từ xa yêu cầu tương tác với người dùng chỉ bằng một cú nhấp chuột (từ 250.000 đô la lên 1 triệu đô la).

Công ty cũng thông báo rằng các cuộc tấn công một cú nhấp chuột thông qua trình duyệt web, vốn phải vượt qua các biện pháp bảo vệ WebKit, sẽ được thưởng tới 300.000 đô la nếu có thể thực thi mã bằng cách thoát khỏi sandbox. Phần thưởng có thể tăng lên tới 1 triệu đô la nếu chuỗi khai thác được tiến xa hơn nữa để thực thi mã không chữ ký với các quyền tùy ý.

Gã khổng lồ công nghệ này cũng đang tăng phần thưởng cho các hạng mục mà chưa có lỗ hổng nào được chứng minh cho đến nay, chẳng hạn như vượt qua Gatekeeper trên macOS (100.000 đô la) và truy cập iCloud trái phép (1 triệu đô la).

Các khoản thanh toán mới sẽ có hiệu lực vào tháng 11 năm 2025.

Hôm thứ Sáu, Apple cũng giới thiệu một khái niệm liên quan đến cờ, tương tự như các cuộc thi cướp cờ (CTF). Những "Cờ Mục tiêu" này nhằm giúp các nhà nghiên cứu dễ dàng chứng minh kết quả nghiên cứu một cách khách quan và biết được phần thưởng xứng đáng cho báo cáo của mình.

Apple giải thích: "Khi các nhà nghiên cứu chứng minh các vấn đề bảo mật bằng cách sử dụng Cờ mục tiêu, cờ cụ thể được ghi lại sẽ thể hiện một cách khách quan mức độ khả năng nhất định - ví dụ: kiểm soát sổ đăng ký, đọc/ghi tùy ý hoặc thực thi mã - và liên quan trực tiếp đến số tiền thưởng, giúp việc xác định giải thưởng minh bạch hơn bao giờ hết " .

“Do Target Flags có thể được Apple xác minh theo chương trình như một phần của các phát hiện đã nộp, nên các nhà nghiên cứu nộp báo cáo đủ điều kiện với Target Flags sẽ nhận được thông báo về giải thưởng ngay sau khi chúng tôi xác thực cờ đã chụp”, công ty cho biết thêm.

Target Flags được hỗ trợ trên iOS, iPadOS, macOS, visionOS, watchOS và tvOS.

Apple cũng thông báo rằng các nghiên cứu đặc biệt sẽ tiếp tục nhận được tiền thưởng và quyết định rằng ngay cả những lỗ hổng có tác động thấp cũng có thể được thưởng 1.000 đô la để khuyến khích các nhà nghiên cứu tiếp tục báo cáo phát hiện của họ.

Theo : SecurityWeek ®