أعلنت أبل عن تحديثات كبيرة في برنامج مكافآت الأمن (Security Bounty program) الذي يبدأ تطبيقه في نوفمبر، لتقدّم بذلك بعضًا من أعلى المكافآت في هذا المجال.
المكافآت والتفاصيل التقنية
ضاعفت أبل الحد الأعلى للمكافأة من مليون دولار إلى 2 مليون دولار لاكتشاف سلاسل استغلال بدون تفاعل من المستخدم يمكنها تحقيق أهداف مشابهة لهجمات برامج التجسس المرتبطة عادة بجهات حكومية.
ويمكن أن تصل سلاسل الاستغلال غير التفاعلية التي لا تتطلب أي تفاعل من المستخدم إلى أكثر من 5 ملايين دولار لاكتشاف ثغرات أكثر أهمية، مثل أخطاء في الإصدارات التجريبية أو تجاوزات وضع الإغلاق، وهو ما وُصف في الإعلان بأنه بنية أمنية مطورة في متصفح سفارى.
كما زادت الشركة مكافأة اكتشاف سلاسل الاستغلال التي تتطلب تفاعلًا من المستخدم بضغطه الواحدة لتصل إلى 1 مليون دولار بدلاً من 250 ألف دولار.
وارتفعت أيضًا المكافأة على الهجمات التي تتطلب قربًا ماديًا من الأجهزة إلى 1 مليون دولار، بعدما كانت 250 ألف دولار، وتضاعفت المكافأة القصوى للهجمات التي تتطلب وصولاً مادياً إلى الأجهزة المقفلة لتصل إلى 500 ألف دولار، وأخيرًا يمكن للباحثين الذين يثبتون ربط تنفيذ شيفرة WebContent مع تجاوز لبيئة الحماية sandbox escape الحصول على ما يصل إلى 300 ألف دولار.
وأوضح إيفان كرستيتش، نائب رئيس أبل لهندسة وأمن الأنظمة، لمجلة Wired أن أبل دفعت أكثر من 35 مليون دولار لأكثر من 800 باحث أمني منذ تقديم البرنامج وتوسيعه خلال السنوات القليلة الماضية، وأن المدفوعات الكبرى نادرة جدًا، لكن أبل دفعت عدة مكافآت بقيمة 500 ألف دولار.
وقالت الشركة في إعلانها إن الهجمات التي استهدفت النظام على أجهزة iOS والتي لوحظت حتى الآن كانت من برامج التجسس المرتزقة المرتبطة عادة بجهات حكومية وتُستخدم عادة لاستهداف أفراد محددين.
وأكدت أبل أن ميزاتها الأمنية الجديدة مثل وضع الإغلاق وتنفيذ حماية تكامل الذاكرة، الذي يكافح ثغرات فساد الذاكرة، يمكن أن تجعل هجمات المرتزقة أكثر صعوبة، ومع ذلك تأمل أن يؤدي تحديث برنامج المكافآت بمدفوعات أعلى إلى تشجيع أبحاث متقدمة للغاية على أهم أسطح الهجوم لدينا بالرغم من زيادة الصعوبة.
