Apple объявила о масштабном обновлении своей программы bug bounty: компания повысила верхние пороги выплат, расширила спектр категорий и усилила акцент на уязвимостях, применимых в цепочках для шпионских атак. Ключевой акцент — повышение максимальной награды за zero-click эксплойты и внедрение новой модели подтверждения возможностей исследователя с помощью Target Flags. На фоне растущей активности коммерческих разработчиков шпионского ПО это шаг, призванный сделать ответственные раскрытия конкурентоспособными по сравнению с серым рынком уязвимостей.
Ключевые изменения в программе вознаграждений Apple
Самое заметное нововведение — удвоение базового максимума для zero-click цепочек, позволяющих удаленно компрометировать устройство без взаимодействия с пользователем: теперь верхняя выплата составляет 2 млн долларов США вместо 1 млн. Согласно Apple, с учетом бонусов (например, за обход Lockdown Mode и отчет по багу в бета-версии ПО) итоговый чек теоретически может достигать 5 млн долларов, хотя это потребует демонстрации исключительного уровня технической сложности и влияния.
Существенно пересмотрены и браузерные сценарии. За one-click атаку через браузер с обходом защит WebKit и достижением выполнения кода с побегом из песочницы максимальная награда увеличена до 300 000 долларов. Если цепочка позволяет выполнить неподписанный код с произвольными привилегиями, потолок возрастает до 1 млн долларов.
Компания также подняла ставки в ряде направлений, где ранее не было подтвержденных эксплуатаций: за обход Gatekeeper на macOS предусмотрено до 100 000 долларов, а за несанкционированный доступ к iCloud — до 1 млн долларов. Одновременно упрощен вход для начинающих исследователей: даже за уязвимости с низким уровнем воздействия теперь можно получить порядка 1 000 долларов, что стимулирует ответственное раскрытие слабых мест на ранних стадиях.
Фокус на шпионское ПО: zero-click и новая защита памяти MIE
Apple сообщает, что повысила выплаты за уязвимости, применимые в цепочках атак шпионского ПО. Контекст понятен: последние годы фиксируются целевые zero-click атаки против iOS без участия пользователя, нередко через мессенджеры или компоненты обработки контента. Исследователи, включая Citizen Lab и Google TAG, документировали подобные кампании на рынке наемного взлома. В ответ Apple ранее представила Lockdown Mode для пользователей с повышенными рисками, а теперь анонсировала Memory Integrity Enforcement (MIE) — постоянно активную защиту памяти на iPhone.
MIE можно рассматривать как дополнение к существующим механизмам на базе архитектурных возможностей ARM (например, верификация указателей и изоляция памяти). Простой язык: MIE усложняет злоумышленнику продвижение по цепочке эксплуатации после первоначального проникновения, ограничивая манипуляции с памятью и снижая вероятность успешной эскалации привилегий. Усиление защиты на уровне памяти и рост bug bounty создают двойной барьер — технический и экономический — против операторов шпионских инструментов.
Target Flags: прозрачность и воспроизводимость для багхантеров
Apple внедряет Target Flags — систему, знакомую участникам CTF: исследователь демонстрирует достижение конкретного уровня возможностей (например, контроль регистров, произвольное чтение/запись, remote code execution, выход из песочницы), а флаг объективно подтверждает результат и напрямую коррелирует с размером выплаты. Флаги проверяются программно, поэтому уведомление о сумме вознаграждения приходит сразу после валидации. Поддерживаются iOS, iPadOS, macOS, visionOS, watchOS и tvOS. Это повышает предсказуемость выплат, ускоряет триаж и снижает трение между исследователями и вендором.
Статистика программы и рыночный контекст
По данным Apple, с момента публичного запуска программы в 2020 году исследователям выплачено свыше 35 млн долларов, а некоторые отчеты оценивались в 500 000 долларов. На фоне предложений на рынке перепродажи уязвимостей (где цены на zero-click для iOS традиционно высоки) повышение потолков до 2–5 млн долларов делает официальный канал раскрытия более привлекательным и этически безопасным.
Практические рекомендации для исследователей и организаций
Багхантерам стоит ориентироваться на полноценные цепочки эксплуатации, уделяя внимание обходу Lockdown Mode, компонентам WebKit и межплатформенной поверхности атаки. Использование Target Flags, четкая репродукция, минимальные зависимости и качественный отчет повышают шансы на бонусы за исключительность и максимальные выплаты. Перспективные направления — механизмы изоляции, валидация памяти, межпроцессное взаимодействие и облачные сервисы Apple.
Организациям и пользователям с повышенным профилем риска стоит: своевременно устанавливать обновления, рассмотреть включение Lockdown Mode для критически важных персон, минимизировать атаку через браузер и мессенджеры, усиливать контроль конфигураций macOS (включая Gatekeeper) и применять MDM-политики. Принципы ответственного раскрытия и стимулирование внутреннего безопасного SDLC снижают совокупный риск.
Повышая выплаты и внедряя MIE с Target Flags, Apple формирует более прозрачную и конкурентную экосистему ответственного раскрытия. Если вы исследователь, изучите новые правила и нацельтесь на воспроизводимые цепочки. Если вы защищаете инфраструктуру, уделите приоритет уязвимостям браузера и межпроцессной изоляции, а также следите за публикациями Apple Security Research — это быстрый путь сократить окно атаки и повысить киберустойчивость.
