L’azienda potenzia il programma per i ricercatori di sicurezza, aumenta i compensi e introduce nuovi strumenti per accelerare le ricompense, puntando su exploit realistici e difese più avanzate.
ChatGPT ha detto:
Apple ha aggiornato il suo programma Security Bounty, la piattaforma che ricompensa i ricercatori in grado di individuare falle nei suoi sistemi, aumentando in modo consistente i premi a partire da novembre. Il compenso massimo passa a 2 milioni di dollari, ma potrà superare i 5 milioni grazie a bonus riservati a chi scoprirà vulnerabilità particolarmente gravi, come quelle che riescono ad aggirare la Lockdown Mode o compromettere versioni beta di iOS e macOS. Dal debutto del programma nel 2020, la società ha già distribuito oltre 35 milioni di dollari a più di 800 esperti di sicurezza, con singoli casi premiati fino a mezzo milione di dollari. Con questa revisione, Apple punta a stimolare la ricerca su exploit sempre più sofisticati, capaci di anticipare le tecniche utilizzate da gruppi di cyber-spionaggio avanzato. Il programma ora coprirà un numero maggiore di vettori di attacco, includendo scenari come exploit wireless di prossimità, vulnerabilità di WebKit e bypass totali di Gatekeeper su macOS. I nuovi importi prevedono fino a 2 milioni di dollari per exploit “zero-click”, cioè senza interazione dell’utente, 1 milione per attacchi “one-click” o accessi non autorizzati su larga scala a iCloud, 1 milione per exploit wireless di prossimità, 500.000 dollari per attacchi che richiedono accesso fisico al dispositivo o per evasioni della sandbox delle app, e 100.000 dollari per un bypass completo di Gatekeeper. Apple introdurrà anche le Target Flags, un nuovo sistema integrato nei sistemi operativi che permette ai ricercatori di dimostrare in modo oggettivo la gravità degli exploit, accelerando così i tempi di verifica e di pagamento, che potrà avvenire anche prima del rilascio della patch. L’aggiornamento arriva in un momento in cui le uniche minacce reali di livello “sistema” individuate da Apple derivano da spyware mercenario, sviluppato con investimenti milionari e mirato a un numero ristretto di individui di alto profilo. Le recenti innovazioni in materia di sicurezza, come la Memory Integrity Enforcement e la Lockdown Mode, hanno reso questi attacchi molto più costosi e complessi, e proprio per questo l’azienda vuole premiare chi riesce a ricreare catene di exploit realistiche e verificabili, più che semplici bug teorici. Infine, Apple ha annunciato che nel 2026 distribuirà 1.000 iPhone 17, dotati di Memory Integrity Enforcement, a organizzazioni della società civile impegnate nella protezione di utenti a rischio come giornalisti e attivisti, ed estenderà il Security Research Device Program ai nuovi modelli di iPhone per consentire ai ricercatori qualificati di analizzarli più a fondo.
