عززت شركة Apple التزامها بالأمن السيبراني من خلال زيادة تاريخية في برنامج المكافآت الخاص بها: بدءًا من الآن، سيدفع ما يصل إلى 2 مليون دولار من خلال سلاسل ثغرات أمنية تُحقق أهدافًا تُضاهي هجمات برامج التجسس المرتزقة. يُصنّف هذا الإعلان، الذي أدلى به إيفان كرستيتش خلال مؤتمر هيكساكون في باريس، هذه المكافأة لاكتشاف الثغرات من بين الأكثر طموحًا في هذا القطاع.
بالإضافة إلى الحد الأقصى الجديد، تقدم الشركة مكافآت، والتي في بعض الحالات، يمكن أن يتجاوز 5 ملايين دولاريركز هذا البرنامج على الهجمات التي لا تتطلب نقرة واحدة والمتجهات ذات التأثير العالي، بما يتماشى مع أدوات مثل Pegasus، ويستفيد من التدابير الدفاعية المتطورة مثل وضع الإغلاق وحماية إنفاذ سلامة الذاكرة، كل ذلك ضمن نظام بيئي يضم أكثر من 2.300 مليار جهاز نشط.
ما الذي يتغير في مكافأة أمان Apple
الحد الجديد مخصص لسلاسل الاستغلال عن بُعد دون تفاعل المستخدم، أي هجمات النقر الصفري الشهيرة. في هذه الحالات، يمكن أن تصل المكافأة إلى 2 مليون إذا تم إثبات أن التأثير يمكن مقارنته بتأثير حملات التجسس المرتزقة المتطورة للغاية.
تُحدّث Apple أيضًا فئات أخرى: هجمات الشبكة التي تتطلب نقرة واحدة قد تصل إلى مليون هجوم؛ وهجمات التقارب اللاسلكية، التي تُنفّذ باستخدام أي جهاز لاسلكي، قد تصل أيضًا إلى مليون هجوم؛ ويُكافأ الوصول الفعلي إلى جهاز مقفل بما يصل إلى 500.000 دولار أمريكي؛ وتتيح حالات البرامج الضارة التي تتجاوز بيئة الحماية للتطبيقات دفع مبالغ تصل إلى 500.000 دولار أمريكي. عمليًا، يُعطي المقياس الأولوية استغلال نقرة واحدة أو بدون نقرة والتأثير الحقيقي في مقابل نقاط الضعف النظرية.
توجد امتدادات محددة: تتم إضافة أهداف بيئة WebKit مع إمكانية الهروب بنقرة واحدة (200.000 دولار)، وزيادة كبيرة لتجاوز Gatekeeper تمامًا (100.000 دولار)، ومبلغ جديد يتعرف على الوصول الواسع وغير المصرح به إلى iCloud بمبالغ تصل إلى مليون دولار أمريكي. يغطي البرنامج أنظمة iOS وiPadOS وmacOS وwatchOS وtvOS وvisionOS، سواءً مكونات برمجية أو بنية تحتية.
تم تعزيز المكافآت أيضًا. تجاوز وضع الإغلاق بسلسلة صالحة أو اكتشاف عيوب حصرية في نظام البرمجيات يمكن للنسخة التجريبية تفعيل مضاعفات ومكافآت تتجاوز 5 ملايين دولار في السيناريوهات القصوى. بالإضافة إلى ذلك، تُقدم Apple "أعلام الهدف"، وهي آلية لإثبات قابلية الاستغلال بسرعة وموضوعية في الفئات الرئيسية وتسريع... المدفوعات والتحقق عندما يتم استيفاء المعايير.
الأسباب والتقويم والخلفية
وفقًا لإيفان كرستيتش، فإن زيادة المبالغ هي طريقة للاعتراف بأن اكتشاف عيوب المنصة أصبح أكثر صعوبة ويتطلب مزيدًا من الوقت والمهارات. الهدف هو أن يواجه أولئك الذين يواجهون سيناريوهات أكثر تعقيدًا يفضلون الإبلاغ عنها بشكل مسؤول لشركة Apple قبل وصولها إلى الأسواق الرمادية.
بدأت مكافأة الأخطاء التي تقدمها شركة Apple في عام 2016 كبرنامج مخصص للدعوة فقط مع أقصى قدر من المدفوعات يبلغ 200 ألف دولار؛ وفي عام 2019، رفعت الحد الأقصى إلى مليون دولار، ومنذ إطلاقها العام في عام 2020، تدعي الشركة أنها وزعت أكثر من 35 مليون دولار من بين أكثر من 800 باحث، مع عدة مدفوعات فردية بقيمة 500.000 ألف دولار.
تتماشى زيادة المكافأة مع إطار دفاعي أوسع: وضع القفل (الذي تم تقديمه في عام 2022) وحماية سلامة الذاكرة الجديدة يرفعان المستوى الفني؛ في الواقع، تقول Apple إنها لم تلاحظ تجاوزات وضع القفل منذ إطلاقه، على الرغم من أنها تعترف بذلك لا يوجد أمن مطلقوبالتوازي مع ذلك، توضح حالات مثل Pegasus والدعوى القضائية ضد مجموعة NSO سبب إعطاء الأولوية للهجمات عن بعد التي تتم بدون نقرة.
ستدخل التغييرات المُعلنة حيز التنفيذ في نوفمبر، عندما تنشر Apple القائمة الكاملة للفئات الجديدة والمبالغ المُعدّلة. للمشاركة، يجب على الباحثين تقديم تقارير فنية مُفصّلة من خلال security.apple.com/bounty/وتؤكد الشركة أن المدفوعات يتم تحديدها وفقًا لتقديرها بناءً على نوع المشكلة ومستوى الوصول الذي تم تحقيقه جودة التقرير.
تتيح لك البوابة عرض كل حالة وتتبعها، بما في ذلك الإقرار في ملاحظات الإصدار في حال وجود إصلاح من التقرير. عند الاقتضاء، سيُعلمك النظام تلقائيًا بالموافقة، مما يُحسّن الشفافية وإمكانية التتبع من عملية الإفصاح المسؤول بأكملها.
مع هذا التحديث، تلتزم Apple بتشجيع الاكتشافات عالية التأثير، وتوسيع نطاقها ليشمل المزيد من المناطق المعرضة للهجمات، والحفاظ على تعاون مجتمع البحث مع الشركة. الرسالة واضحة: إعطاء الأولوية للسلاسل الكاملة، ومكافأة الصعوبة الحقيقية، وتعزيز الحماية لكل من الفئات الأكثر عرضة للخطر وجميع السكان الأكثر عرضة لخطر الهجوم. أعلى المكافآت في القطاع.
