Appleは、セキュリティ報奨金プログラムの大幅な見直しを発表し、ゼロクリックエクスプロイトチェーンを発見した研究者への最高支払額を2倍の200万ドルに増額した。新しい最大値は、ユーザーの介入なしにリモートからデバイスを侵害できる脆弱性に適用され、国家レベルの敵対者が使用する傭兵スパイウェア攻撃の巧妙さに匹敵します。
会社言う拡張された報酬システムは 2025 年 11 月に正式に発効し、ロックダウン モードのバイパスやベータ ソフトウェアで見つかったバグに対するボーナスを含めると、500 万ドルを超える可能性があります。 Apple は、この変更を「報奨金プログラムの中で最大の報奨金」であり、影響の大きい脆弱性の責任ある開示を奨励する広範な取り組みの一環であると説明しています。
この拡張は、Apple が iPhone 17 および iPhone 17 Pro の A19 および A19 Pro チップでデビューしたロックダウン モードやメモリ整合性強制などの機能を通じて、iOS、macOS、およびその他のプラットフォームのセキュリティ基盤を強化し続ける中で行われます。こうした対策にも関わらず、同社は、巧妙な攻撃者が適応し続けており、重大な欠陥が悪用される前に発見して報告するという、より大きなインセンティブが研究者に必要であることを認めています。
関連している:Apple、タッチスクリーンMacBookにノーを表明、iPadとMacを別々に開発する
Appleは、更新されたプログラムの下で、研究者が任意のコードの実行やシステム全体の読み取り/書き込みなどのエクスプロイト中にどのレベルのアクセスを達成したかを正確に実証できる新しいシステムであるTarget Flagsを導入している。 Apple がキャプチャしたフラグを検証すると、研究者は公開修正を待たずに早期に賞を受け取ることができ、以前は数か月かかっていたプロセスが合理化されます。
同社はまた、いくつかの主要なカテゴリーで報酬を引き上げた。 macOS 上で Gatekeeper を完全にバイパスすると 100,000 ドルの収益が得られ、サンドボックス エスケープによる WebKit コードの実行の連鎖は最大 300,000 ドルに達する可能性があります。最新のデバイスの無線インターフェースを介した不正な iCloud アクセスや無線近接ハッキングを利用した悪用により、100 万ドルが被害に遭う可能性があります。主要な報奨金カテゴリ以外の影響力の低い発見であっても、より少額の 1,000 ドルの報奨金の対象となり、新たな参加者がこの分野に参入するよう奨励されます。
2019年にこのプログラムをすべての研究者に公開して以来、Appleは800人以上の貢献者に3,500万ドル以上を支払ったと発表しており、その中には複数の50万ドルの賞金も含まれているという。新しい構造は、民間ブローカーが同じ脆弱性に対して数百万ドルの金額を提示することが知られている闇市場でエクスプロイトを販売するのではなく、トップのセキュリティ人材をAppleのエコシステムの改善に集中させることを目的としている。