Apple оголосила старт прийому заявок на участь у Security Research Device Program (SRDP) 2026 — фірмовій ініціативі для white hat-дослідників, що надає доступ до спеціально налаштованих iPhone для дослідження безпеки iOS. Податися можна до 31 жовтня 2025 року.
Security Research Device Program: можливості дослідницького iPhone
SRDP діє з 2020 року і надає «дослідницькі» iPhone з розширеними можливостями діагностики та відладки. На відміну від реверсингу на звичайних пристроях, ці смартфони не потребують обходу вбудованих захистів, що зменшує юридичні та технічні ризики і суттєво прискорює цикл аналізу.
Серед ключових переваг — shell-доступ для запуску власних інструментів, ранній доступ до компонентів iOS і спеціалізовані утиліти для відтворення та аналізу вразливостей. Пристрої надаються за поновлюваною 12-місячною угодою і не призначені для особистого використання.
Умови відбору та потенційні моделі пристроїв
Подати заявку можуть фахівці з підтвердженим досвідом пошуку та відповідального розкриття вразливостей в екосистемі Apple або сучасних ОС і платформах. Практично це означає наявність публічних звітів, CVE або незалежних досліджень, що підтверджують компетентність.
Apple не уточнює модель iPhone для SRDP 2026. З огляду на оновлювальні цикли, ймовірними кандидатами виглядають iPhone 16 або майбутній iPhone 17, однак остаточний вибір компанія традиційно оголошує ближче до початку розсилки пристроїв.
Багбаунті Apple: розміри виплат і пріоритетні класи вразливостей
Знайдені через SRDP вразливості винагороджуються в рамках офіційної програми Apple Security Bounty. За даними компанії, у 2024 році виплати отримали понад 100 учасників SRDP; окремі винагороди сягали $500 000, а медіанна виплата становила майже $18 000.
Такий рівень винагород відповідає практиці провідних вендорів і стимулює фокус на критичних класах багів: обходах sandbox, підвищенні привілеїв у ядрі, вразливостях механізмів захисту пам’яті (зокрема PAC — Pointer Authentication) та ланцюжках RCE без взаємодії з користувачем. Для порівняння, програми Google і Microsoft останніми роками також нарощують призові фонди — реакція ринку на зростання складності атак і цінності превентивного виявлення дефектів.
Чому SRDP підсилює безпеку iOS
Глибина аналізу та відтворюваність експлойтів
Розширений доступ на дослідницьких пристроях зменшує «шум» і прискорює відтворення складних сценаріїв експлуатації — зокрема на межах привілеїв, у механізмах міжпроцесної взаємодії та підсистемах ізоляції. Це дає змогу швидше перевіряти гіпотези і фікси, що скорочує час усунення вразливостей і підвищує якість патчів.
Ефект для екосистеми та відповідальне розкриття
SRDP створює стійкий канал відповідального розкриття, допомагаючи Apple координувати виправлення з урахуванням сумісності, продуктивності та енергоспоживання. Виграють користувачі, розробники і корпоративні замовники: критичні баги закриваються швидше, а базовий рівень захисту платформи зростає.
Як підвищити шанси на відбір до SRDP 2026
Кандидатам варто підготувати чітке обґрунтування дослідження: пріоритетні зони (ядро, драйвери, PAC, JIT-компіляція, sandbox-escape), методологію, набір власних інструментів і історію відповідального розкриття. Корисно зібрати повне портфоліо (CVE, публікації, PoC/стендові відтворення), підтвердити готовність дотримуватися умов програми, включно з відмовою від особистого використання пристрою та дотриманням конфіденційності.
Прийом заявок на SRDP 2026 — шанс отримати легальний і потужний інструментарій для глибинного аналізу iOS. Тим, хто відповідає критеріям, варто подати заявку до 31 жовтня 2025 року. Усім іншим рекомендовано стежити за оновленнями Apple, своєчасно встановлювати патчі, мінімізувати поверхню атаки, контролювати дозволи застосунків і регулярно проводити аудит конфігурацій та телеметрії — ці практики підвищують стійкість і знижують ризики в мобільному середовищі.
