Jiří Filip Apple se zjevně rozhodl motivovat lovce chyb víc než kdy dřív. Společnost totiž oznámila zásadní změnu svého programu bug bounty, v rámci které zdvojnásobí maximální výši odměny na 2 miliony dolarů. Takto vysoká částka čeká na ty, kteří dokážou vytvořit exploit řetězec s úrovní sofistikovanosti srovnatelnou s útoky špionážního softwaru typu Pegasus.
Podle Applu by se s bonusy za nalezení chyb v beta verzích systému nebo za obcházení režimu Lockdown Mode mohla celková výše vyplacených odměn přehoupnout až přes pět milionů dolarů, což má být vůbec nejvyšší částka, jakou kdy firma v rámci podobného programu nabídla. Apple navíc mění celý princip hodnocení — důraz už nebude kladen na jednotlivé chyby, ale na kompletní řetězce exploitů, které v reálných útocích bývají klíčové.
Mohlo by vás zajímat
Vratislav Holub Zajímavou novinkou jsou takzvané Target Flags, tedy „vlajky“, které výzkumníci mohou při úspěšném útoku „získat“. Ty fungují podobně jako v hackerských soutěžích typu Capture the Flag a přesně ukazují, jaké úrovně přístupu se podařilo dosáhnout – třeba spuštění libovolného kódu nebo čtení a zápis do paměti. Jakmile Apple vlajku ověří, výzkumník dostane okamžitě potvrzení o přiznané odměně a ta je mu vyplacena už v následujícím výplatním cyklu. Dosud se na odměnu často čekalo měsíce, dokud Apple chybu neopravil v aktualizaci.
Nový systém začne platit od listopadu 2025 a rozšiřuje i další kategorie odměn. Například únik z WebKit sandboxu jedním kliknutím bude mít hodnotu až 300 tisíc dolarů, útok přes jakékoliv bezdrátové rozhraní až milion dolarů. Kdo by dokázal kompletně obejít Gatekeeper na macOS, získá rovných 100 tisíc dolarů.
Apple uvádí, že od zahájení veřejného bug bounty programu v roce 2020 již vyplatil více než 35 milionů dolarů více než osmi stovkám výzkumníků. S novými pravidly a odměnami se tak z programu stává jeden z nejštědřejších bezpečnostních fondů v celém technologickém průmyslu.
