Nicolai Busekist
Apple er kommet med et vildt tilbud, der kan ende med at sikre dig mere end 12 millioner danske kroner.
Apple har besluttet at opdatere sit Security Bounty-program i november og tilbyder nu nogle af branchens højeste belønninger. Den øverste præmie er fordoblet fra 1 million til 2 millioner dollars for opdagelsen af ‘exploit-kæder, der kan opnå samme mål som sofistikerede spionangreb’ og som ikke kræver brugerinteraktion.
Den maksimale udbetaling kan dog overstige 5 millioner dollars (ca. 32,1 millioner kroner) ved fund af mere kritiske sårbarheder, som fejl i betasoftware og metoder til at omgå Lockdown Mode, der er en udvidet sikkerhedsarkitektur i Safari-browseren.
Derudover belønner virksomheden nu opdagelsen af exploit-kæder, der kræver et enkelt klik fra brugeren, med op til 1 million dollars i stedet for tidligere 250.000 dollars. Belønningen for angreb, der kræver fysisk nærhed til enheder, kan ligeledes nå op på 1 million dollars, hvilket også er en stigning fra 250.000 dollars.
Den maksimale betaling for angreb, der kræver fysisk adgang til låste enheder, er fordoblet til 500.000 dollars. Endelig kan personer, ‘der demonstrerer kædning af WebContent-kodeeksekvering med en sandbox-flugt’ modtage op til 300.000 dollars.
Apples vicepræsident for sikkerhedsingeniørarbejde og arkitektur, Ivan Krstic, fortalte til Wired, at virksomheden har udbetalt over 35 millioner dollars til mere end 800 sikkerhedsforskere, siden programmet blev indført og udvidet gennem de seneste år.
Store udbetalinger er tilsyneladende sjældne, men Apple har foretaget flere udbetalinger på 500.000 dollars, lyder det ifølge Engadget.
Virksomheden oplyste i sin meddelelse, at de eneste systemniveau-angreb på iOS, den har observeret i praksis, stammer fra spionsoftware, som historisk forbindes med statslige aktører og typisk bruges til at målrette bestemte personer.
Apple fremhævede, at nye sikkerhedsfunktioner som Lockdown Mode og Memory Integrity Enforcement, der beskytter mod sårbarheder forårsaget af hukommelseskorruption, kan gøre det vanskeligere at udføre sådanne angreb.
Alligevel vil ondsindede aktører fortsætte med at udvikle deres metoder, og Apple håber, at opdateringen af belønningsprogrammet med højere udbetalinger kan ‘opmuntre til yderst avanceret forskning i Apples mest kritiske angrebsflader trods den øgede kompleksitet’.
