Desde que lanzaran el programa público de recompensas de seguridad de Apple en 2020, la compañía ha otorgado más de 35 millones de dólares a más de 800 investigadores de seguridad, y varios informes individuales obtuvieron recompensas de 500.000 dólares.
Ayer, anunció el próximo capítulo importante de Apple Security Bounty, que incluye las recompensas más altas de la industria, categorías de investigación ampliadas y un sistema de banderas para que los investigadores demuestren de forma objetiva las vulnerabilidades y obtengan premios acelerados.
- Han duplicado la recompensa máxima a 2 millones de dólares para cadenas de exploits que logren objetivos similares a los sofisticados ataques de spyware mercenario. Se trata de una cantidad sin precedentes en la industria y el mayor pago ofrecido por cualquier programa de recompensas que conozcamos. Además, el sistema de bonificaciones de Apple, que ofrece recompensas adicionales por eludir el Modo de Bloqueo y descubrir vulnerabilidades en software beta, puede duplicar con creces esta recompensa, con un pago máximo superior a 5 millones de dólares. También han duplicado o aumentado significativamente las recompensas en muchas otras categorías para fomentar una investigación más exhaustiva. Esto incluye 100.000 dólares por eludir completamente el Gatekeeper y 1 millón de dólares por un acceso amplio y no autorizado a iCloud, ya que hasta la fecha no se ha demostrado ningún exploit exitoso en ninguna de las dos categorías.
- Las categorías de recompensas se están expandiendo para cubrir aún más áreas de ataque. En particular, Apple recompensa con hasta $300,000 quienes escapen del entorno sandbox de WebKit con un solo clic, y con hasta $1 millón quienes se aprovechen de la proximidad inalámbrica por cualquier radio.
- Apple ha presentado Target Flags, una nueva forma para que los investigadores demuestren objetivamente la explotabilidad de algunas de nuestras principales categorías de recompensas, como la ejecución remota de código y las omisiones de Transparencia, Consentimiento y Control (TCC), y para ayudar a determinar la elegibilidad para una recompensa específica. Los investigadores que envíen informes con Target Flags podrán optar a recompensas aceleradas, que se procesan inmediatamente después de recibir y verificar la investigación, incluso antes de que haya una solución disponible.
Estas actualizaciones entrarán en vigor en noviembre de 2025. En ese momento, Apple publicará la lista completa de categorías nuevas y ampliadas, recompensas y bonificaciones en el sitio de Apple Security Research, junto con instrucciones detalladas para aprovechar Target Flags, pautas actualizadas del programa y mucho más.
