Айда «ломать» айфоны: Apple объявила о рекордных выплатах исследователям безопасности iOS

leer en español

Apple iPhone 17 Lockdown Mode Memory Integrity Enforcement Иван Крстич багбаунти шпионское ПО
Айда «ломать» айфоны: Apple объявила о рекордных выплатах исследователям безопасности iOS
Apple iPhone 17 Lockdown Mode Memory Integrity Enforcement Иван Крстич багбаунти шпионское ПО

Компания решила переиграть чёрный рынок эксплойтов его же методами — большими деньгами.

image

Apple значительно расширила программу вознаграждений за уязвимости, связанную с защитой экосистемы iOS. На конференции Hexacon по наступательной безопасности в Париже вице-президент компании по архитектуре и инженерии в области защиты Иван Крстич объявил о максимальном вознаграждении в размере 2 миллионов долларов за цепочку уязвимостей, которая может быть использована в шпионских целях.

А если такая связка позволит обойти дополнительный режим защиты Lockdown Mode или обнаружена в бета-версии системы, общая сумма премии может достигать 5 миллионов долларов. Новые правила вступают в силу уже в следующем месяце.

Решение отражает обеспокоенность компании ростом рынка коммерческих программ-шпионов и стремлением перекрыть путь к их эксплуатации ещё на этапе обнаружения критичных слабых мест. Apple подчёркивает, что особенно ценит те находки, которые повторяют логику реальных атак — и именно за такие вложения времени и усилий готова платить крупные суммы.

При этом, по словам Крстича, компания уже выплачивала полмиллиона долларов за отдельные находки, а всего с 2020 года, когда программа была открыта для всех желающих, выдано более 35 миллионов долларов свыше 800 исследователям.

Кроме увеличения вознаграждений, компания расширила и список типов уязвимостей, подходящих под программу. Теперь в неё входят атаки через инфраструктуру браузера WebKit с одного клика и методы, основанные на использовании радиоканалов вблизи устройства.

Также добавлена новая категория Target Flags — по сути, интеграция элементов CTF-соревнований в реальное тестирование продуктов Apple. Это позволяет демонстрировать эффективность эксплойтов быстро и наглядно, повышая прозрачность процесса.

Помимо создания стимулов для охотников за уязвимостями, Apple инвестирует в долгосрочную защиту своих продуктов на архитектурном уровне. В сентябре компания представила механизм Memory Integrity Enforcement, встроенный в устройства линейки iPhone 17. Он призван блокировать наиболее часто используемый класс багов в iOS и рассчитан в первую очередь на защиту уязвимых групп, включая политических активистов, журналистов и правозащитников.

Apple подчёркивает, что даже если большинство пользователей никогда не столкнётся с угрозами шпионских программ, работа по защите самых уязвимых групп укрепляет безопасность всей экосистемы. Компания объясняет это необходимостью моральной ответственности — особенно в условиях постоянных злоупотреблений подобными технологиями, о которых регулярно сообщают как IT-компании, так и правозащитные организации.